ルーターのDNS情報改ざんによるマルウェアへの誘導、対象言語を増やし拡大中

Kaspersky Labは5月18日、Securelistで「Roaming Mantis dabbles in mining and phishing multilingually」と題する記事を公開しました。

Roaming Mantis dabbles in mining and phishing multilingually - Securelist

この記事は今年の3月~4月に感染が確認され話題となった、ルーターのDNS設定情報が何らかの手段で改ざんされ、「Facebook 拡張ツールバッグを取付て安全性及び使用流暢性を向上します。」「閲覧効果をよく体験するために、最新 chrome バージョンへ更新してください。」というメッセージと共にマルウェアの導入を促すページが表示される現象に関する続報です。

Kasperskyはこの攻撃手法を「Roaming Mantis」、トレンドマイクロは導入されるマルウェアを「XLOADER」と呼称しています。

スポンサーリンク

対象言語の拡大

以前の当該マルウェアは4つの言語(日本語、韓国語、中国語(繁体字)、英語)を対象としていましたが、現在は大幅に増加した27言語のメッセージがダウンロードページ・マルウェア本体共に表示されるようになっているとのことです。

iOS・PCも対象に

apkファイルをダウンロード・インストールさせるという性質上、従来の状態で影響を受けるのはAndroid端末に限られていましたが、現在はiOSやPCでも被害を被る可能性が生じています。

iOS端末のブラウザで対象のページにアクセスすると、Appleのドメインであるかのような"security.apple.com"へリダイレクトされます。

https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/

通常このドメインは名前解決に失敗するため接続できませんが、"Roaming Mantis"の影響を受けているDNSサービスはこのドメインへのアクセスに対してIPアドレスを返し、ユーザーに情報詐取のためのページを開かせます。

開いたページ内ではAppleID・パスワードとクレジットカードの番号・有効期限・セキュリティコードの入力を求められ、このページも多言語(25言語)に対応しています。

加えてブラウザ上で仮想通貨のマイニングを行うスクリプト「Coinhive」も埋め込まれており、直接的に情報を抜き取られる可能性こそ低いものの、PCのブラウザからアクセスした場合にもマシンリソースを消費されることになります。

マルウェアと共に影響を受ける地域も変化

https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/

NTT東西が「Netcommunity OG」シリーズでDNS情報の改ざんによりインターネット接続が不可能になる事象を公開して話題になった2018年3月時点のものよりも、"Roaming Mantis"は大幅な変化を遂げています。

また、影響を受ける地域も変化しており、韓国や日本での検出例が多かった2018年2月~4月に対し、2018年5月1日~10日に集計されたデータではロシアやウクライナでの検出例が非常に多くなっています。

(どちらも『Trojan-Banker.AndroidOS.Wroba.al』の検出例が対象)

https://securelist.com/roaming-mantis-dabbles-in-mining-and-phishing-multilingually/85607/(2018年5月)

https://blog.kaspersky.co.jp/roaming-mantis/20105/(2018年2月~4月)

国内メーカー・ISPはアップデートと管理用パスワードの変更を推奨中

国内の個人向けルーターメーカー4社(バッファロー / NECプラットフォームズ / ロジテック / アイ・オー・データ機器)は本件に関する声明を4月に公開しており、各社ともルーターのファームウェアアップデートと管理用パスワードの変更・再設定、問題が発生した際の自社への連絡を呼び掛けています。

フェイスブックの機能追加を求めるメッセージが表示される障害について | BUFFALO

不正なアプリのダウンロード案内がされる事象について|Aterm(エーターム) サポートデスク

重要なお知らせ - > インターネット上での接続障害について - ロジテック

不正なアプリのダウンロード案内が表示される事象について | IODATA アイ・オー・データ機器

また、住友電気工業及びNECプラットフォームズ製の一部ADSLモデムでも同様の事象が発生する可能性があるとして、ISPも呼び掛けを行っています。

@niftyADSL接続サービス インターネットに接続できない事象について : @nifty

【重要】「ADSL」コース ADSLモデムのセキュリティ脆弱性について:BIGLOBE会員サポート