I2P(Invisible Internet Project)匿名ネットワークを介して攻撃者と通信する新しい金融マルウェア プログラムが、ロシアのサイバー犯罪フォーラムで販売されています。
Trusteerのセキュリティ研究者によると、このマルウェアは「i2Ninja」と呼ばれ、I2Pネットワークをコマンドアンドコントロール(C&C)チャネルとして使用するとのことだ。研究者らはこの発表を見たという。
I2Pは、複数の暗号化層を用いて安全かつ匿名の通信を可能にする分散型ピアツーピアネットワークです。インターネット内にダークネットと呼ばれる独立したネットワークを構築します。類似しているもののより普及しているダークネットであるTorと同様に、I2Pは様々なサービスの実行とアクセスをネットワーク内からのみ可能にするように設計されています。
.i2p 疑似ドメインで実行されている匿名の Web サイトには、ブラウザーを I2P ネットワークに接続するプロキシ プログラムである EepProxy を通じてのみアクセスできます。
何をするのか
i2Ninjaの作成者による発表によると、このマルウェアは他の金融系マルウェアに見られる機能のほとんどを備えています。例えば、Webフォームに入力された情報を盗み、Internet Explorer、Firefox、ChromeのHTTPおよびHTTPSセッションに不正なコンテンツを挿入することができます。また、33種類のFTPクライアントと、最も人気のあるオンラインポーカークライアントの一部からログイン認証情報を盗むこともできます。
ボットネット運営者にとって、TorやI2Pといったダークネットの利用は大きなメリットをもたらす。まず、マルウェアとコマンドサーバー間のトラフィックは暗号化されているため、侵入防止システムやファイアウォールで簡単にブロックできない、とアンチウイルスベンダーKaspersky Labのマルウェア研究者、ドミトリー・タラカノフ氏は木曜日のメールで述べた。
タラカノフ氏によると、この悪意のあるトラフィックをブロックすることは、I2PまたはTorのすべてのトラフィックをブロックすることを意味する。なぜなら、特定のアドレスへの接続のみをブロックするために、このようなネットワークパケットから正確な宛先を抽出することは不可能だからだ。さらに、攻撃者はC&CサーバーをI2PまたはTorネットワーク内に隠すことで、セキュリティ研究者によるサーバーの発見と削除をはるかに困難にすることができるとタラカノフ氏は述べた。TorをC&Cチャネルとして利用するマルウェアの事例は既に存在しており、例えば8月にTorユーザー数が大幅に増加したMevadeボットネットの事例が挙げられる。
サイバー犯罪者に売られる
i2Ninjaが、感染したコンピュータが情報やコマンドを直接中継できるGameoverやHlux/Kelihosボットネットのようなピアツーピア機能を備えているかどうかは不明です。もしそうだとすれば、このマルウェアをベースにしたボットネットを閉鎖するのは困難になるかもしれないとタラカノフ氏は述べています。
i2Ninjaが既にコンピュータ感染に使用されているかどうかは不明です。Trusteerの報告書はサイバー犯罪フォーラムの発表に基づいており、ウイルス対策企業がデータベース内でこのマルウェアを検索するのに役立つようなサンプルハッシュは存在しません。
i2Ninja は他のサイバー犯罪者にも販売されているため、スパムメール、エクスプロイトキットに感染したウェブサイトから実行されるドライブバイダウンロード攻撃、既存のボットネットを通じた直接インストールなど、このタイプのマルウェアの通常の方法で配布される可能性が高いとタラカノフ氏は述べた。
