マルウェア

悪意のあるコインマイナーやWebスキマーに感染したAlexaランキング上位サイト

Clock Icon 4 min read
Related Products
Advanced Threat Prevention iconAdvanced Threat PreventionAdvanced URL Filtering iconAdvanced URL FilteringNext-Generation Firewall iconNext-Generation Firewall

This post is also available in: English (英語)

概要

最近Unit 42ではAlexa上の世界上位1万件のWebサイトについて、脅威ハンティングキャンペーンを行いました。AlexaランキングはWebサイトの人気度をはかるもので、閲覧者のインタラクションや閲覧数に基づいてランキングが算出されます。今回の脅威ハンティングでは脅威による影響を受けたサイトが4つ見つかりました。この概要を表1に概要を記載します。以下の分析では、悪意のあるアクティビティについて詳しく説明し、CPUリソースを乗っ取って暗号通貨をマイニングする悪意のあるコインマイナーのほか、ユーザーを悪意のあるサイトに誘導する悪意のある外部リンク、チェックアウトフォームから支払いカードの詳細を盗むように設計されたWebスキマー攻撃などについて取り上げていきます。

影響を受けたドメイン 影響の種類 攻撃の種類 Alexaランク(2020年6月15日現在) サイトの種類
libero[.]it 悪意のある外部リンク 悪意のあるコインマイナー 607 イタリアでAlexaランク1位のWebサイト。Webメール、検索エンジン、ニュースなど、さまざまな種類のコンテンツとサービスを提供
pojoksatu[.]id 侵害されたサイト 悪意のあるコインマイナー 1494 インドネシアのニュースサイト
www[.]heureka[.]cz 悪意のある外部リンク Webスキミング 5204 中央・東ヨーロッパ市場で最大のeコマースプラットフォーム
zoombangla[.]com 侵害されたサイト 悪意のあるコインマイナー 6579 バングラデシュのニュースサイト

表1 影響を受けたトップAlexaサイトの概要

パロアルトネットワークス製品をご利用のお客様は前述の脅威からURLフィルタリングとクラウド配信のセキュリティサブスクリプション脅威防御により保護されています。

侵害されたサイト

悪意のあるコインマイナー

CoinhiveはMoneroブロックチェーン用JavaScriptマイナーを提供するブラウザーマイニングサービスでしたが、サイバー犯罪者に広く悪用されたことが一因となり、2019年3月にシャットダウンされました。ですが、Coinhiveのマイナースクリプトを提供しているWebサイトはまだ存在しています。coinhive.min[.]jsJSEcoinの2つです。下の図1は、侵害されたWebサイト(zoombangla[.]com)でコインマイナーを起動するのに発行されたコマンドを示しています。

侵害されたWebサイトのソースzoombangla[.]comに悪意のあるコインマイナーを起動して被害者のCPUの使用量などのパラメーターを設定するために使用されるコマンドが表示されています。
図 1 定義されたパラメータでCoinhiveマイナーを開始するコマンド
このマイナーは、以下のコードでユーザーのCPUをどのように使うかや、マイニング用スレッド数などを制御することができます。このほか、対象CPUをどの程度使うかについても制御可能です。パラメータに使用できるオプションを表2に示します。奇妙なことに上記のコードはマイナーが感染デバイスのバッテリを急速に枯渇させるような構成にしてありました。おそらくこの攻撃者は侵害に成功した対象デバイスを最大限利用してやろうと目論んだのでしょう。ほとんどの攻撃者は侵害デバイスの電力消費量を低く抑えることで検出を回避し、不正な金儲けを継続しようとするものですが、この事例では慌ててマイニングをして、適切な構成がされていなかったようです。

Throttle (スロットル) CPU usage limit to (CPU使用率の制限)
0 (デフォルト) 100%
0.3 80%
0.5 50% – 70%

表2 スロットルとCPU使用率マッピング用のパラメータ

さて次は別のWebサイト(pojoksatu[.]id)の事例を以下に示します。このサイトでもCoinhiveマイニングスクリプトを提供してコマンドを開始していました。

侵害されたWebサイトpojoksatu[.]idからのソース。悪意のあるコインマイナーを起動するために使用されるデフォルトのコマンドを示しています。
図 2 デフォルトのパラメータ設定でCoinhiveマイナーを開始しているるコマンド
ユーザーが上記のサイトのいずれかにアクセスすると、コインマイニングスクリプトが自動的に実行され、攻撃者のためのマイニングを開始します。この結果、図3に示すようにユーザーのCPU負荷は増加します。

悪意のあるコインマイナーの影響を受けた場合のCPU負荷アクティビティの例
図 3 マイニングアクティビティによるCPU負荷

pojoksatu[.]idとzoombangla[.]comには合わせて60以上のURLページにCoinhiveマイニングスクリプトが挿入されていました。詳細については本稿末尾の付録を御覧ください。

悪意のある外部リンク

外部リンクのセキュリティはこれまでにまして重要になっています。メールサービス側のスパムを含む悪意のあるメッセージの発見能力が向上したために、攻撃者がそれらの代わりに外部リンクを使用したオープンリダイレクトを使うようになってきているからです。攻撃者が正当なWebサイトの投稿に悪意のあるURLを含めたとして、それを疑わしいと察知できる閲覧者はほぼいないでしょう。ユーザーがリンクをクリックしたり、まずはリンク先を確認しようとリンクにカーソルを合わせただけで、リンクに有効なWebサイトが表示されたとしても、結局は攻撃者がリダイレクトさせたい悪意のあるサイトに飛ばされてしまいます。その後ユーザーは、悪意のあるコインマイナーなど、ある種のマルウェアに感染したり個人情報を窃取される可能性があります。

次の図4は、libero[.]it上で中古車販売を行っている正当なWebサイトです。このサイトでは車両を検索・比較できるようになっていますが、図5-7に示すように、攻撃者は悪意のあるリンクを車の広告に挿入することで、車に関心のある閲覧者を悪意のあるサイトにリダイレクトして、JSEcoinコインマイニングスクリプトを挿入していました。なおJSEcoinプラットフォームは2020年4月4日に閉鎖されていますので、この点はご留意ください。スクリプト自体は実行されますが攻撃者はスクリプトからコインを収集することはできなくなっています。

これは、攻撃者が悪意のある外部リンクを、ここに示す正規の中古車Webサイトなどの侵害されたWebサイトに挿入する方法の例を示しています。
図 4 libero[.]itの外部リンク。閲覧者を侵害されたサイトにリダイレクトしている
このソースページは次のようになっています。

この画像は、libero[.]itを指すすべての外部リンクを強調表示しています。リンクは正当に見えますがリンクをクリックするとユーザーは悪意のあるサイトにリダイレクトされます。
図 5 悪意のあるリンクを含むページのソースコード
図5に示すように、強調表示されているすべての外部リンクはlibero[.]itに向けられています。この車についてもっと知りたければリンクをクリックする必要がありますが、そうすることで悪意のあるサイトにリダイレクトされます。

赤で強調表示した領域は、ユーザーを正当なWebサイトから悪意のあるサイトに誘導するリダイレクトチェーンの仕組みを示しています。
図 6 リダイレクトチェーン

このサイトが悪意のあるコインマイナーが挿入される場所です。

これは、www.clicautosate[.]itのソースを示しています。ここでコマンドはJSEcoinの悪意のあるコインマイナーを開始します。
図 7 JSEcoinマイナーを開始するコマンド

Webスキミング

Eスキミング、あるいはMagecart攻撃とも呼ばれるWebスキミング攻撃は、あらかじめWebサイトの支払いページを侵害して悪意のあるコードが埋め込んでおき、チェックアウトフォームが入力された段階で支払いカードの詳細を盗むという攻撃手法です。

Alexaランキング上位のウェブサイトで見つけたサンプルは、別の外部リンクのセキュリティ問題に由来するものでした。heureka[.]cz 自体はECサイトで、このサイトでCOVID-19対策製品(ウェブサイトのトップ検索キーワード)を検索すると関連製品一覧が表示されます。

AlexaのトップランクのWebサイトにあるCOVID-19対策製品の例。外部リンクのセキュリティ由来の問題により、こうした人気製品一覧をチェックしているユーザーが攻撃にさらされる
図 8 製品例

この商品の後ろにはストアが1つ掲載されていて、閲覧者はそのストアから製品を買うことができます。

これは、heureka[.]czのリンクを示しています。一見COVID-19対策製品を宣伝しているように見えますが、実際にはユーザーを侵害されたサイトにリダイレクトしています。
図 9 heureka[.]cz内の侵害されたサイトへのリンク
このソースページは次のようになっています。

強調表示されている悪意のあるリンクを含むheureka[.]czのページのソースコード。
図 10 悪意のあるリンクを含むページのソースコードを強調表示している
このストアを訪れたユーザーは悪意のあるサイトにリダイレクトされます。

赤で強調表示されている部分はユーザーがどのようにして正当なWebサイトから悪意のあるサイトにリダイレクトされるかを示しています。
図 11 リダイレクトチェーン

図12に示すとおり、このサイトは残念ながら全体が難読化された悪意のあるスキミング用スクリプトで埋め尽くされていました。

私たちが調査した事例は、ユーザーのリダイレクト先となる悪意のあるサイトは難読化された悪意のあるスキマースクリプトだらけでした。難読化されているのでこれらがどのような動作を引き起こすか予測することは困難です。
図 12 難読化されたスキミング用スクリプト

難読化されているとどのような動作が発生するかを予測するのが難しいので、まずはこれを解除してやる必要がありました。難読化を解除すると次の一連の関数が見つかりました。これらの関数では、密かにユーザーによる支払いカード情報の入力を監視し、リモートの攻撃者サーバーに送信しています。

この関数はLuhnアルゴリズムによるクレジットカード番号検証に使われています。Luhnアルゴリズムは、クレジットカード番号のようなさまざまな識別番号の検証に広く利用されているものです。

ここがスキマーの開始部分です。99秒ごとに実行されて関数 XYRUDR を呼び出します。関数 XYRUDR は [input, select, form, button, a, img] に含まれるタグをすべて検索します。

前述のタグの mousedown イベントリスナーを設定します。

イベントがトリガーされるとこの関数を呼び出してタグの値を取得します。

この関数を利用して収集サーバーにクレジットカード情報を送信します。

要約すると、このwebスキマーのワークフローは次のとおりです。

  1. [input, select, form, button, a, img]の各タグ用にイベントリスナーを追加
  2. 数字文字列がクレジットカード検証チェックに合格すれば情報を送出
  3. 収集サーバーのURLとパラメータを作成し情報を送信

攻撃が成功するとクレジットカード番号、住所など、すべてのユーザー情報がリモートの攻撃者サーバーに送信されます。

収集サーバー:metahtmlhead[.]com

収集サーバー:metahtmlhead[.]com赤で囲んだ部分は、Webスキマー攻撃中、収集サーバーに送信される収集済みクレジットカード情報を示しています。
図 13 収集サーバーに送信されるクレジットカード情報

URLフィルタリング分析

この円グラフは、私たちが観察した、脅威の影響を受けたサイトを訪れた閲覧者の地理的分布を示しています。大多数の閲覧は西ヨーロッパからのものでしたが、米国東部・西部もかなりの割合をしめています。
図 14 弊社URLフィルタリングを利用している顧客の地理的分布

この円グラフは、私たちが観察した、脅威の影響を受けたサイトを訪れた閲覧のおおよその地理的分布を示すものです。大多数は明らかに西ヨーロッパからの閲覧で、米国東部・西部からの閲覧もかなりの割合をしめています。この円グラフは、被害者となりうる閲覧者が世界中の広い範囲におよんでいることを示しています。

結論

今回の調査からは人気もあって一見評判の良いWebサイトであっても慎重に閲覧する必要があることが明らかになりました。なぜならそうしたサイトは悪意のあるコインマイニングやWebスキミングを集中して狙っている攻撃者にとっても最も高い収入をもたらしてくれるサイトだからです。ですから外部サイトを開くようなリンクをクリックするときは、たどりついたサイトのURL全体に注意を払い、いまいる場所が自分が意図したサイトかどうかを確認する必要があります。悪意のあるコインマイナーを回避するシンプルな方法は、エンドポイントセキュリティをインストールしてブラウザやシステムにすべての更新プログラムを適用しておくことです。

パロアルトネットワークス製品をご利用のお客様は前述の脅威からURLフィルタリングとクラウド配信のセキュリティサブスクリプション脅威防御により保護されています。

IoC

  • zoombangla[.]com/career/
  • bandung[.]pojoksatu[.]id/politik-2/pemilihan-legislatif/#terpopuler
  • clickout[.]libero[.]it/auto-furgoni-in-vendita/AVzIAHFZ2VJ8PlgGhbdOweEIAAABZw
  • www[.]heureka[.]cz/exit/ovci-veci-cz/3773569318/?z=2&p=29&tb=0
  • www[.]ovci-veci[.]cz
  • www[.]clicautousate[.]it/auto/mini-cabrio-torino-1855861[.]php?utm_source=libero.it
  • bandung[.]pojoksatu[.]id/read/2018/07/08/made-wirawan-waspadai-motivasi-berlipat/
  • bandung[.]pojoksatu[.]id/lifestyle/wisata/
  • bandung[.]pojoksatu[.]id/persib/
  • bandung[.]pojoksatu[.]id/read/2018/07/07/partai-pendukung-ridwan-kamil-kuasai/
  • bandung[.]pojoksatu[.]id/#mingguini
  • bandung[.]pojoksatu[.]id/bandung-barat
  • bandung[.]pojoksatu[.]id//id/corporate-social-responsibility[.]html
  • bandung[.]pojoksatu[.]id//id[.]html
  • bandung[.]pojoksatu[.]id/iklan/bjb-lebaran/
  • bandung[.]pojoksatu[.]id/read/2018/07/07/warganet-heboh-amanda-manopo-upload-foto/feed/
  • bandung[.]pojoksatu[.]id/read/2018/07/07/pencipta-lagi-syantik-bantah-ambil-jargon/
  • bandung[.]pojoksatu[.]id/read/2018/07/08/siti-badriah-langsung-jawab-sindiran/
  • bandung[.]pojoksatu[.]id/read/2018/07/09
  • bandung[.]pojoksatu[.]id/olahraga/top-soccer/
  • bandung[.]pojoksatu[.]id/jabar-area/
  • bandung[.]pojoksatu[.]id/read/2018/07/09/puncaki-daftar-topscorer-ini-reaksi-ezechiel/
  • bandung[.]pojoksatu[.]id/pojok-info/
  • bandung[.]pojoksatu[.]id/politik-2/pilgub-jabar/
  • bandung[.]pojoksatu[.]id//id/corporate-website/kontak-kami[.]html
  • bandung[.]pojoksatu[.]id/lifestyle/kuliner/
  • bandung[.]pojoksatu[.]id//id/corporate-website/rate-dan-biaya/prime-lending-rate[.]html
  • bandung[.]pojoksatu[.]id/read/tag/berita-selebritis/
  • bandung[.]pojoksatu[.]id/bandung/
  • bandung[.]pojoksatu[.]id/?p%3D177978
  • bandung[.]pojoksatu[.]id/read/2018/07/02/bagaimana-cara-membuat-si-dia-terpuaskan/
  • bandung[.]pojoksatu[.]id/politik/
  • bandung[.]pojoksatu[.]id//id/corporate-website[.]html
  • bandung[.]pojoksatu[.]id/bisnis/
  • bandung[.]pojoksatu[.]id/read/2018/07/08/vincenzo-alberto-annese-persib-vs-psis-duel
  • bandung[.]pojoksatu[.]id/read/2018/07/09/kapolda-jabar-apresiasi-1-800-bandit-jalanan-diamankan-jelang-asian/
  • bandung[.]pojoksatu[.]id/read/2018/07/07/jennifer-lopez-dan-alex-rodriguez
  • bandung[.]pojoksatu[.]id/read/2018/07/08/kroasia-menuju-semifinal
  • bandung[.]pojoksatu[.]id/read/2018/07/08/mario-gomez-demi-3-poin-persib-main/
  • bandung[.]pojoksatu[.]id/read/2018/07/08/livorno-maaf-juve-kami-sudah-dapatkan-cristiano-lebih/
  • bandung[.]pojoksatu[.]id/read/2018/07/07/mantap-lagu-exo-akan-dimainkan-di-final-piala-dunia/
  • bandung[.]pojoksatu[.]id/politik-2/pilkada-serentak/
  • bandung[.]pojoksatu[.]id/read/2018/07/07/warganet-heboh-amanda-manopo-upload-foto/#respond
  • bandung[.]pojoksatu[.]id/read/2018/07/07/jika-mediasi-gagal-sule-pasrah-dicerai/
  • bandung[.]pojoksatu[.]id/kabupaten-bandung/
  • bandung[.]pojoksatu[.]id/read/2018/07/09/made-wirawan-waspadai-permainan-cepat/
  • bandung[.]pojoksatu[.]id//en[.]html
  • bandung[.]pojoksatu[.]id/read/2018/07/07/gairah-seks-menurun-sikat-5-buah-ini-sebelum/
  • bandung[.]pojoksatu[.]id/read/2018/07/08/sah-ade-yasin-iwan-setiawan-menang-di-pilbup-bogor/
  • bandung[.]pojoksatu[.]id/selebritis/
  • bandung[.]pojoksatu[.]id/read/2018/07/06/brotherhood-meradang-keluarkan-maklumat-soal/
  • bandung[.]pojoksatu[.]id/olahraga/
  • bandung[.]pojoksatu[.]id/#grve-polling-modal
  • bandung[.]pojoksatu[.]id/read/2018/07/09/kpu-jabar-klaim-tak-ada-celah-gugat-hasil-rekap-suara/
  • bandung[.]pojoksatu[.]id/comments/feed/
  • bandung[.]pojoksatu[.]id/olahraga/moto-gp/
  • bandung[.]pojoksatu[.]id/read/2018/07/08/rekap-suara-pilgub-jabar-diprediksi-minggu/
  • bandung[.]pojoksatu[.]id/read/2018/07/08/pemkot-bandung-bakal-tertibkan-minimarket/
  • bandung[.]pojoksatu[.]id/lifestyle/belanja/
  • bandung[.]pojoksatu[.]id/read/editor/redaksi3/
  • bandung[.]pojoksatu[.]id/read/2018/07/07/warganet-heboh-amanda-manopo-upload-foto/
  • bandung[.]pojoksatu[.]id/read/2018/07/08/timnas-indonesia-dipastikan-segel-tiket-semifinal-piala-aff-u-19/
  • bandung[.]pojoksatu[.]id/read/2018/07/08/hade-pisan-ezechiel-selain-raja-gol-persib-ternyata-ada-prestasi/
  • bandung[.]pojoksatu[.]id/read/2018/07/08/mario-gomez-ayo-bobotoh-birukan-gbla-sore/
  • bandung[.]pojoksatu[.]id/read/2018/07/08/harga-tiket-asian-games-2018-kemahalan-cak-imin-angkat-suara/
  • bandung[.]pojoksatu[.]id/iklan/iklan-dprd/
  • bandung[.]pojoksatu[.]id/read/2018/07/08/kata-pengamat-peluang-prabowo-ahy-kalahkan-jokowi-lebih/
  • bandung[.]pojoksatu[.]id/iklan/pemprov-jabar/
  • bandung[.]pojoksatu[.]id/read/2018/07/09/si-jago-merah-lahap-rumah-di-jalan-tera-belakang/
  • bandung[.]pojoksatu[.]id//id/corporate-website/rate-dan-biaya/kurs-valas[.]html
  • bandung[.]pojoksatu[.]id/read/2018/07/09/kemenangan-emil-dan-banyak-catatan-bawaslu-untuk-kpu/
  • bandung[.]pojoksatu[.]id/lifestyle/
  • bandung[.]pojoksatu[.]id/read/2018/07/01/cadas-ferry-pak-presiden-jokowi-aja-suruh-bunuh-diri/

 

Tags

目次

関連記事

関連項目 リソース

category icon脅威リサーチ

ランサムウェア振り返り: 2024 年上半期
今すぐ読む Right arrow
Constellation image representing the constellation schema used by Palo Alto Networks Unit 42 to track nation-state and
category icon脅威アクター グループ

パロアルトネットワークス Unit 42 が追跡している脅威アクター グループの一覧
今すぐ読む Right arrow
Pictorial representation of APT Fighting Ursa. The silhouette of a bear and the Ursa constellation inside an orange abstract planet. Abstract, stylized cosmic setting with vibrant blue and purple claw marks, representing space and distant planetary bodies.
category icon脅威アクター グループ

「車売ります」広告で標的を釣る Fighting Ursa
今すぐ読む Right arrow
Pictorial representation of phishing or cybersquatting using GenAI keywords. Glowing cube with the letters 'AI' illuminated in blue, centered on a complex network of interconnected circuits and digital nodes, suggesting advanced technology and artificial intelligence themes.
category icon脅威リサーチ

生成 AI (GenAI) 人気に便乗する詐欺攻撃の傾向
今すぐ読む Right arrow
Representation of accelerating malware analysis. Two professionals working in a high-tech monitoring room filled with large screen displays showing data and graphs. One person is seated looking at a monitor, while the other, wearing glasses, is deep in thought.
category icon脅威リサーチ

緊急時に役立つマルウェア分析時短術
今すぐ読む Right arrow
A digital concept of BadPack malware showing a large malware alert symbol on a screen, set against a background filled with lines of computer code and network diagrams in shades of blue and pink. The word "MALWARE" prominently displayed within the alert symbol.
category icon脅威リサーチ

BadPack にご用心: Android アプリの奇妙な分析回避トリック
今すぐ読む Right arrow
Person in a blurred motion is working on a computer with screen showing lines of code, emphasizing a dynamic and intense focus on software development or programming in a dimly lit room.
category icon脅威リサーチ

DarkGate: Excel ルアーから公開 Samba へつづく感染チェーンと回避戦術の分析
今すぐ読む Right arrow
A laptop on a desk displaying a vibrant graphical interface with a circular red pattern, possibly representing cybersecurity or data analysis. The laptop is illuminated by the screen’s glow in a dimly lit room, which also shows a blurred background suggesting a secondary monitor and small desk objects.
category icon脅威リサーチ

Visual Studio Code Node.js デバッグによる GootLoader 分析
今すぐ読む Right arrow
The image depicts a close-up view of a circuit board featuring microchips and electronic components with bright red digital data streams emanating from the surface, symbolizing high-speed data processing and technology innovation.
category icon脅威リサーチ

公開された Cobalt Strike Malleable C2 プロファイルの悪用・回避手口の調査
今すぐ読む Right arrow
Lines of binary in the shape of a blue skull on a dark background
category icon脅威リサーチ

Operation Diplomatic Specter: 活発な中国のサイバースパイ活動 稀なツールセットを駆使して中東・アフリカ・アジアの政府機関を標的に
今すぐ読む Right arrow
Enlarged Image

Default Heading

Read the article Right Arrow