B-CASカード不正改造ツールでウイルス感染700台 WOWOW無料視聴が危険!

e3499ca8.png

今月2015年2月、不正な改造を施したB-CASカード を使用しているテレビ機器に対して、有料チャンネル WOWOW の視聴をできなくして、海賊行為にメスを入れる対策が実施されたそうです。 <知らんかった出来事

WOWOWが改造B-CASカード対策を実行、との噂 - スラッシュドット・ジャパン 2月9日
http://slashdot.jp/story/15/02/09/0356232/


改造ツール名目でウイルス配布!

この B-CASカードの海賊版対策の出来事に便乗して、Windowsパソコン をターゲットに ウイルス感染 を狙ったインシデントも発生しているので、紹介しましょう。

イメージ 1
とあるアップローダサイトに公開されてたナゾの実行ファイル
ファイル名 wowow_free.exe
MD5 0b020965a93441960c1f2655cbb3edec
www.virustotal.com/ja/file/f343c96e3b996e3a82cea454419f00b100888d8f7195a62b29f6fc03413f0825/analysis/1424408770/
【セキュリティソフトの検出名例】
avast! Win32:Malware-gen
Avira TR/Gamarue.A.1160
ESET Win32/TrojanDownloader.Wauchos.AF
Kaspersky Backdoor.Win32.Androm.giad
McAfee RDN/Generic BackDoor!bbw
Microsoft Worm:Win32/Gamarue
Symantec Trojan.Asprox.B
Trend Micro BKDR_ANDROM.YYYF

WOWOW を無料視聴できるようにする改造ツール wowow_free.exe として配信された実行ファイルの正体は、何と Windows 向けのマルウェアであり、その種類はバックドア Win32/Gamarue となります。

この実行ファイルのダウンロード数は約 1,600 です!
ダウンロードしたユーザーさん、ガチのウイルスをゲットしてホント大丈夫でしょうか。。。 a869aaf3.gif

Gamarue ウイルスとは?

セキュリティ界隈では闇世界のブラックマーケットで販売されているクライムウェア Andromeda Bot として以前から知られており、ウイルスを開発するプログラミングの知識のなくてもボタン1つで不正な実行ファイルを作成できるみたい?

  • Andromeda Bot … ウイルス作成ツールの商品名

  • Gamarue … セキュリティ会社が名付けた脅威名



[2016年2月 追記...]

Windows パソコンをターゲットに、PC のストレージ上のファイルを暗号化して破壊し、身代金の支払いを要求してくる ランサムウェア が投入されました。

こちらは、ランサムウェア開発キット 「TorLocker」 として闇世界のブラックマーケットで販売されているクライムウェアから生み出されるランサムウェアとなります。

 ファイル名 CardTool.exe
MD5 b71e04980df665b1254174616e4492be
www.virustotal.com/ja/file/b08c196a2089afa79469e5d6ddf6610204b4894945b8370f0134c8c00dbea97e/analysis/1418137867/
【セキュリティソフトの検出名例】
avast! MSIL:GenMalicious-CQR
Avira HEUR/AGEN.1000697
ESET MSIL/Injector.GRB
Kaspersky HEUR:Trojan.Win32.Generic
McAfee BackDoor-FCOB!B71E04980DF6
Microsoft Ransom:Win32/Critloki.B
Symantec Trojan.Gen.2

 
その攻撃手口は、zip形式の圧縮アーカイブ、あるいは実行ファイルを ”B-CASカードの不正改造ツール” と偽装させて某所のアップローダサイトで公開されました。

ユーザーに手動でファイルをダウンロードさせて、ユーザーの意思で実行ファイル(拡張子 .exe) を起動してもらう自爆感染パターンです。 <ファイルサイズ6.7MBという異常なデカさ

イメージ 2
ダウンロード数 8,400
 
イメージ 3
ダウンロード数 1,000

ってか、ファイルのダウンロード数が千件もいってます!



<追記...>

メディア報道によると、この一連の遠隔操作ウイルスやランサムウェアの作成、配布して感染させる攻撃を実行したサイバー犯罪者が警察に摘発されて逮捕されたそう。

東京新聞:高1、アカウント不正入手 ネット銀など1800件 容疑で書類送検:社会
サイバー犯罪対策課によると、少年はテレビの有料放送を無料で見られるようにする「B-CAS(ビーキャス)改造ツール」を装って、遠隔操作ウイルスをインターネット上にアップした。ダウンロードした約七百三十人分のパソコンに感染させ、ネット通販やネット銀行で使う他人のアカウント約千八百件を入手していた。
少年は不正入手したアカウントが実際に使えるかを不正アクセスで確かめた上、ネット掲示板で販売し、仮想通貨ビットコインで約五万円を得ていたという。同課は、ネット通販などで被害がなかったかどうか実態を調べる。
http://www.tokyo-np.co.jp/article/national/list/201602/CK2016020502000243.html
■ ウイルス拡散 1800人分の情報入手か 容疑の高1書類送検 :日本経済新聞
同課は730台のパソコンを感染させ、通販サイトやインターネットバンキングのID・パスワード延べ1800人分を入手したとみている。
送検容疑は2015年6月、衛星放送などを無料で視聴できるツールと偽り、遠隔操作ウイルスをネット掲示板に仕込み、東京都内在住の40代男性にダウンロードさせて感染させた疑い。
また、14年12月から昨年6月、パソコン内のデータをロックし、それを解除すると称して金銭を要求する身代金要求型ウイルスをネット掲示板に仕込んだ疑い。
同課によると、男子生徒は感染端末から不正入手したID・パスワードをネット上で転売。代金は仮想通貨「ビットコイン」で支払わせていた。男子生徒のパソコン内には5万円相当のコインが残っていたという。
男子生徒は他人のID・パスワードを使い、オークションサイトで高級腕時計を2600万円で落札したこともあったという。同課は悪ふざけだったとみている。
身代金要求型ウイルスでは、実在する都内の法律事務所をかたっていた。
http://www.nikkei.com/article/DGXLASDG05H3D_V00C16A2CC0000/

B-CAS カードネタで釣られて、自爆感染したユーザーさんがこんなにいるという悲劇。。。

ところで、IE11、Chrome、Firefox ブラウザにはユーザー名とパスワードの組み合わせを保存する オートコンプリート機能 が実装されています。

今回、投入された Gamarue ウイルスは、そのオートコンプリートのデータを盗み取る機能が備わっているので、機密情報をまんまと外部へ流出被害となったユーザーさんが使う Windows PC 700台は危険な機能を活用しちゃってない?

関連するブログ記事