BSides LVマルウェア開発者の人生は厳しい。警察や連邦政府に捕まらなければ、仲間のクズどもに騙されるだろう。あるいはその両方かもしれない。
本日ラスベガスで開催されたハッキングカンファレンス「Bsides」でのプレゼンテーションで、脅威インテリジェンス企業Recorded Futureのアナリスト、ウィノナ・デソンブレ氏は、マルウェア作成者が集まるダークウェブフォーラムやチャットルーム、そしてパブリックウェブフォーラムやチャットルームに関する1年間にわたる調査の詳細を説明した。2019年5月に終了した調査の過程で彼女が目にしたのは、マルウェアを作成する者と、それをクラックして自ら販売したり、あるいはただ無料で配布したりする者との間の絶え間ない争いだった。
つまり、悪質なソフトウェアは、正規のアプリケーションと同様に、犯罪者によって海賊版が作られ、再配布されるのです。マルウェアの開発も海賊版の影響を免れることはできません。
「著作権侵害は悪いことです。絶対にしてはいけません」とデソンブレ氏は、それがマルウェア作成者にとって頭痛の種になっていると説明しながら、やや冗談めかして語った。
彼女は例として、感染したWindowsコンピュータからパスワード、Cookie、ウェブ閲覧履歴、その他の個人データを収集する「AZORult」と呼ばれるトロイの木馬の興亡を解説しました。これは通常、第二段階として使用されます。つまり、コンピュータが既に侵入された後に展開され、徹底的に情報を吸い上げます。AZORultは作成者から購入可能で、海賊が錨を揚げてクラック版を持ち去るほどの人気ぶりでした。
最初の海賊版は、最初のリリースから数か月後、ソースコードの一部が流出したことから出現し始めました。オリジナルの作成者はソフトウェアをアップデートし、新機能やデータ抽出の高速化などを追加しましたが、海賊版業者が再び介入し、独自のアップデート版をリリースしたため、最終的にオリジナルの販売者は市場から撤退しました。
告白:私は10代の頃、コンピューターウイルスの作成者でした
続きを読む
デソンブレ氏によると、想像通り、クラックされたマルウェアはこうした地下フォーラムでかなり人気があり、定期的に機能更新やバグ修正、ユーザーサポートを行って悪意のあるコードを扱うプロのマルウェア作成者の売上と収益を圧迫していたという。
彼女はまた、マルウェア作成者が自社製品を宣伝するためにメディアを利用していることを指摘した。彼女は、悪質なソフトウェアを宣伝するフォーラム投稿が、まさにそのマルウェアについて報道したセキュリティジャーナリストの記事にリンクしていることを明らかにした。この悪質なコードの開発者たちは、ニュース報道を利用して自社製品の影響力と威力を誇示しようとしていた。これはすべて、マルウェア販売者が自社のソフトウェアを売り込むために利用した、話題作りの手段の一部だった。
マルウェアベンダーが頻繁に用いるもう一つの戦術は、検索エンジン最適化(SEO)です。販売者はSEO対策として、マルウェアのパッケージやバンドルを作成し、可能な限り多くのコンポーネントをリストアップすることで、あらゆるキーワードを捕捉し、検索結果の上位に表示されるようにしました。さらには、利益を増やそうと無料コードまで添付していました。当時も今も、スクリプトキディにできるだけ早くコードを売ることが全てです。
ハッカーフォーラムで話題になっているランサムウェア、トロイの木馬、その他類似のグレムリンの多くは古く、中には3年以上も前のものもあり、OSベンダーやその他のソフトウェアメーカーが提供する最新のセキュリティパッチをインストールすることで対処できるということを知っておくと興味深いかもしれません。つまり、パッチが公開されてから数ヶ月、あるいは数年経っている脆弱性を悪用する、古くなったファイル暗号化型マルウェアが被害者を狙っているのであり、コンパイラから出てきたばかりのエリートレベルのゼロデイ攻撃ツールではないということです。
好例が、2012年に初めて出現したnjRATトロイの木馬です。このマルウェアは登場から時間が経っており、ほとんどのウイルス対策ソフトウェアで即座に駆除されるにもかかわらず、いまだに盛んに話題になっており、オンラインで販売されています。
「njRAT は、何らかの理由で、永遠に人気が続くだろう」と DeSombre 氏は指摘した。®
