毎日更新!ビットコインはもちろん、仮想通貨のことがよくわかる情報サイト

YouTubeを隠れ蓑にXMRをマイニング Stantinkoボットネット発見

2019.11.29
YouTubeを隠れ蓑にXMRをマイニング Stantinkoボットネット発見

<この記事(ページ)は 4分で読めます>

モネロ(Monero:XMR)などのデジタルコインをマイニングするようにカスタマイズされた暗号通貨マイニングツールStantinkoというボットネットが、YouTubeを経由していることがみつかりました。

これまでに、世界中で50万件以上ものデバイスをマルウェアで感染させてきました。

主にウクライナ、カザフスタン、ロシアやベラルーシの地域がターゲットになっているようですが、その手口は様々です。パスワード解析、広告投入、クリック詐欺、そにSNS詐欺などで不正資金を作り出します。

CoinMiner.Stantinko/Win(32/64)マルウェア

ESETによる調査では、このマルウェアは分析を難読化して、さらに検知されないようにするものだと判明したようです。

その難読化は、被害者個々のデバイスごとにユニークなStantinkoモジュールでランダムに行われています。

またESETは、マイニングマルウェアが、オープンソースのXMRスタッククリプトマイナーのハイブリッドバージョンであることを見つけました。

それらが検知されないようにするために、ボットネットの達人は、簡単に検知される可能性のあるマルウェアからいくつかの機能を削除したのです。

ESETセキュリティはマルウェアを、CoinMiner.Stantinko/Win(32/64)として検知しました。

このマルウェアは明示的にマイニングプールとは通信しませんが、YouTube動画の説明文テキストからIPアドレスをもつプロキシを介して通信します。

そして、暗号マイニングプロキシからハッシュアルゴリズムコードをダウンロードし、メモリに保存します。

ESETは既にYouTubeへこれらのスペースの乱用について報告しており、同社はその動画のチャンネルのすべてをリコールしました。

ハッシュアルゴリズムCryptoNight R

そのハッシュコードはダウンロードのたびに変更できるため、Botnetチームが通貨のアルゴリズムの調整を容易にするようです。
さらに、もっと収益性のある他の通貨のマイニングへの切り替えを可能にする、とESETの調査員は述べており、

「モジュールがリモートサーバーからダウンロードされてメモリーに明確にロードされると、モジュールのコア部分はディスクに保存されることは決してありません。そのプロセスは、アルゴリズムパターンを検出するのが難しい為、検出プロセスを複雑にしています。」
と、報告しました。

ESETは、 CoinMiner.StantinkoのハッシュアルゴリズムはCryptoNight R だということを突き留めました。この暗号通貨マイニングモジュールがモネロのマイニングに使われていたのです。

しかし、同じアルゴリズムを使う暗号通貨は他にもあります。

「そのハッシュアルゴリズム(CrypotNight R)は、難読化されることなく残ったCoinMiner.Stantinkoの唯一の部分です。何故なら、それは収益低下につながるハッシュ値計算速度の低下を引き起こす可能性がある部分だからです。」

みなさんも、ESETのような優れたセキュリティソフトは必ずインストールしておきましょう。

参考サイト:
“https://bitcoinexchangeguide.com/stantinko-botnet-masterminds-use-youtube-to-mine-cryptocurrencies-undetected/”
“https://thenextweb.com/hardfork/2019/11/26/stantinko-botnet-caught-using-youtube-to-mine-monero-cryptocurrency/”

関連記事

この記事のタグ

仮想通貨の投資には
やっぱり情報が大切
LINE@には仮想通貨投資に
役立つ情報がいっぱい

ようこそ
CRIPCY公式LINEアカウントへ

LINE@では今後の価格予想や、気になるICO銘柄、 最新の仮想通貨ニュースを随時配信しています。
PCよりこのページをご覧の方は
下記のQRコードよりLINE@にご登録ください。
※本サービスはLINEの使用(スマートフォン版のみ対応)が必須です。LINE@の解除はいつでも簡単に行っていただけますのでご安心ください。CRIPCY村通信という名前で追加されます。