ウイルス対策企業トレンドマイクロのセキュリティ研究者によると、ドライブバイダウンロード攻撃を通じて配布されているファイル感染型マルウェアプログラムの新バージョンは、FTP(ファイル転送プロトコル)の認証情報を盗むこともできるという。
トレンドマイクロの研究者は月曜日のブログ投稿で、新たに発見された亜種は、2010年に確認されたファイル感染型マルウェア「PE_EXPIRO」ファミリーの一部であると述べた。しかし、この亜種の情報窃取機能は、この種のマルウェアとしては異例である。
この新たな脅威は、エクスプロイトツールキットの一部としてJavaおよびPDFのエクスプロイトをホストする悪意のあるウェブサイトにユーザーを誘導することで拡散されます。訪問者のブラウザプラグインが最新でない場合、マルウェアがコンピュータにインストールされます。
Java のエクスプロイトは、CVE-2012-1723 および CVE-2013-1493 のリモート コード実行の脆弱性を悪用するものであり、Oracle によってそれぞれ 2012 年 6 月と 2013 年 3 月に修正プログラムが適用されました。
トレンドマイクロが電子メールで共有した情報によると、この新しいEXPIRO亜種による感染の急増は7月11日に記録された。「感染全体の約70%は米国内で発生している」と研究者らはブログ投稿で述べている。
EXPIROの新しい亜種がシステム上で実行されると、すべてのローカルドライブ、リムーバブルドライブ、ネットワークドライブ上の.EXEファイルを検索し、それらに悪意のあるコードを追加します。さらに、Windowsログイン認証情報を含むシステムとユーザーに関する情報を収集し、広く普及しているオープンソースFTPクライアントであるFileZillaからFTP認証情報を盗みます。
盗まれた情報は、.DLL 拡張子のファイルに保存され、マルウェアのコマンド アンド コントロール サーバーにアップロードされます。
「使用された脅威の組み合わせは非常に異例であり、この攻撃が容易に入手可能なサイバー犯罪ツールを使用した既成の攻撃ではなかったことを示唆している」とトレンドマイクロの研究者は述べた。
FTP認証情報の盗難は、攻撃者がウェブサイトに侵入しようとしているか、FTPサーバーに保存されている組織の情報を盗もうとしていることを示唆しています。しかし、トレンドマイクロの研究者はメールで、この脅威が特定の業界を標的にしているわけではないと述べています。
