Kaspersky Labのリサーチャーは、TelegramのWindowsデスクトップ版アプリのゼロデイ脆弱性を悪用した、新しいマルウェアによる攻撃が実行されていることを突き止めました。コンピューターの状態に応じて、バックドアやマイニング用ソフトウェアなど多目的なマルウェアの配布が行われました。この脆弱性の悪用は2017年3月からロシアで活発に行われ、MoneroやZcashなどの暗号通貨のマイニングに利用されています。
~暗号通貨を採掘するマイニング用ソフトウェアやバックドアなど多目的なマルウェアを配布 ~
[本リリースは、2018年2月13日にKaspersky Labが発表したプレスリリースに基づいた抄訳です]
Kaspersky Labのリサーチャーは、メッセンジャーアプリ「Telegram」のWindowsデスクトップ版アプリのゼロデイ脆弱性を悪用した、新しいマルウェアによる攻撃が実行されていることを突き止めました。この脆弱性を悪用し、コンピューターの状態に応じて、マイニング用ソフトウェアやバックドアなど多目的なマルウェアの配布が行われました。調査の結果、この脆弱性の悪用は2017年3月からロシアで活発に行われ、MoneroやZcashなどの暗号通貨のマイニングに利用されています。
インスタントメッセンジャーは、友人や家族との連絡手段として広く利用されているため、ひとたび攻撃の標的となってしまうと、非常に広い範囲に深刻な影響を及ぼします。たとえば、Kaspersky Labが1月に調査レポートを発表した、WhatsAppのメッセージを窃取することができる高度なモバイルマルウェア「Skygofree」も記憶に新しいでしょう。
今回の調査によると、このTelegramのゼロデイ脆弱性を突いた攻撃は、RLO(right-to-left override)というUnicodeの制御文字を悪用しています。RLOは一般に、文字を右から左に向かって読むアラビア語やヘブライ語などの言語に対応する際に用いられていますが、拡張子を偽装する手法としても古くから悪用されています。例えば、悪意ある実行ファイルを画像に見せかけて、ユーザーにダウンロードを促すよう仕向けることが可能です。
具体的には、ファイル名にRLOを挿入して、ファイル名の文字を逆に並べ替えることで、マルウェアが仕込まれた実行ファイルをダウンロードさせ、マルウェアに感染させます。Kaspersky Labはこの脆弱性をTelegramの開発元に報告しました。本プレスリリース発表時点では、同社のメッセンジャーアプリ内でこのゼロデイ脆弱性は確認されていません。
解析の過程でKaspersky Labのリサーチャーは、サイバー犯罪者がこのゼロデイ脆弱性を悪用したいくつかのパターンを特定しました。まず、この脆弱性はマイニング用マルウェアの配布のために利用されるため、ユーザーに深刻な影響を与える恐れがあります。標的のコンピューターの処理能力を利用して、Monero、Zcash、Fantomcoinなどのさまざまな暗号通貨を採掘します。また、当社のリサーチャーがマルウェア作成者のサーバーを解析したところ、標的のコンピューターからTelegramアプリのローカルキャッシュを含むアーカイブファイルを窃取していることも突き止めました。
また、この脆弱性の悪用が成功すると、Telegram APIをコマンド送信プロトコルとして使用するバックドアがインストールされ、標的のコンピューターを遠隔操作することが可能になります。インストールされたバックドアはサイレントモードで動作を開始するため、マルウェア作成者は標的にしたユーザーに気づかれることなく、ネットワーク内で追加のスパイウェアツールをインストールするコマンドなど、さまざまなコマンドを実行することができます。調査で見つかった痕跡から、サイバー犯罪者はロシア語を使うとみています。
Kaspersky Labの標的型攻撃リサーチ部門でマルウェアアナリストを務めるアレクシセイ・フィルシュ(Alexey Firsh)は次のように述べています。「インスタントメッセンジャーは非常に人気の高いサービスであるため、ユーザーが犯罪者の標的とならないよう、開発者がユーザーを守るための適切な保護対策を施すことがきわめて重要です。当社では、このゼロデイ脆弱性が、一般的なマルウェアやスパイウェアだけでなく、マイニングソフトウェアの配布にも利用されたパターンをいくつか特定しました。このような感染事例は世界的に広まっており、昨年は年間を通じて見られました。」
カスペルスキー製品は、この脆弱性が悪用されたケースを検知・ブロックします。
Kaspersky Labでは、PCのマルウェア感染を防ぐため、以下を推奨しています。
- 信頼できない提供元からファイルをダウンロードして開かない。
- プライベートな情報や個人情報をインスタントメッセンジャーで共有することはなるべく避ける。
- 信頼できるセキュリティ製品をインストールし、悪意あるマイニング用ソフトウェアを含むあらゆる脅威を検知して防げるようにする。
この脆弱性の技術的な詳細については、Securelistブログ「Zero-day vulnerability in Telegram」(英語)をご覧ください。Kaspersky Dailyブログ「Telegram上で無害なファイルになりすますマルウェア」でもご紹介しています。