サイトアイコン CRIPCY

YouTubeを隠れ蓑にXMRをマイニング Stantinkoボットネット発見

YouTubeを隠れ蓑にXMRをマイニング Stantinkoボットネット発見

<この記事(ページ)は 4分で読めます>

モネロ(Monero:XMR)などのデジタルコインをマイニングするようにカスタマイズされた暗号通貨マイニングツールStantinkoというボットネットが、YouTubeを経由していることがみつかりました。

これまでに、世界中で50万件以上ものデバイスをマルウェアで感染させてきました。

主にウクライナ、カザフスタン、ロシアやベラルーシの地域がターゲットになっているようですが、その手口は様々です。パスワード解析、広告投入、クリック詐欺、そにSNS詐欺などで不正資金を作り出します。

CoinMiner.Stantinko/Win(32/64)マルウェア

ESETによる調査では、このマルウェアは分析を難読化して、さらに検知されないようにするものだと判明したようです。

その難読化は、被害者個々のデバイスごとにユニークなStantinkoモジュールでランダムに行われています。

またESETは、マイニングマルウェアが、オープンソースのXMRスタッククリプトマイナーのハイブリッドバージョンであることを見つけました。

それらが検知されないようにするために、ボットネットの達人は、簡単に検知される可能性のあるマルウェアからいくつかの機能を削除したのです。

ESETセキュリティはマルウェアを、CoinMiner.Stantinko/Win(32/64)として検知しました。

このマルウェアは明示的にマイニングプールとは通信しませんが、YouTube動画の説明文テキストからIPアドレスをもつプロキシを介して通信します。

そして、暗号マイニングプロキシからハッシュアルゴリズムコードをダウンロードし、メモリに保存します。

ESETは既にYouTubeへこれらのスペースの乱用について報告しており、同社はその動画のチャンネルのすべてをリコールしました。

ハッシュアルゴリズムCryptoNight R

そのハッシュコードはダウンロードのたびに変更できるため、Botnetチームが通貨のアルゴリズムの調整を容易にするようです。
さらに、もっと収益性のある他の通貨のマイニングへの切り替えを可能にする、とESETの調査員は述べており、

「モジュールがリモートサーバーからダウンロードされてメモリーに明確にロードされると、モジュールのコア部分はディスクに保存されることは決してありません。そのプロセスは、アルゴリズムパターンを検出するのが難しい為、検出プロセスを複雑にしています。」
と、報告しました。

ESETは、 CoinMiner.StantinkoのハッシュアルゴリズムはCryptoNight R だということを突き留めました。この暗号通貨マイニングモジュールがモネロのマイニングに使われていたのです。

しかし、同じアルゴリズムを使う暗号通貨は他にもあります。

「そのハッシュアルゴリズム(CrypotNight R)は、難読化されることなく残ったCoinMiner.Stantinkoの唯一の部分です。何故なら、それは収益低下につながるハッシュ値計算速度の低下を引き起こす可能性がある部分だからです。」

みなさんも、ESETのような優れたセキュリティソフトは必ずインストールしておきましょう。

参考サイト:
“https://bitcoinexchangeguide.com/stantinko-botnet-masterminds-use-youtube-to-mine-cryptocurrencies-undetected/”
“https://thenextweb.com/hardfork/2019/11/26/stantinko-botnet-caught-using-youtube-to-mine-monero-cryptocurrency/”
モバイルバージョンを終了