毎日5万台以上がマルウェア「MyloBot」に感染、日本も標的 - 感染拡大の恐れ

BitSight Technologiesはこのほど、「Mylobot: Investigating a proxy botnet｜BitSight」において、高度なボットネット型マルウェアが感染を拡大させていることを伝えた。同社の調査により「MyloBot」と呼ばれるボットネットが5万台以上のシステムに感染していることが明らかとなった。

MylobotはWindowsシステムを標的とするボットネット型マルウェア。2017年に初めて観測され、主な機能として感染したシステムをプロキシサーバとして利用することが知られている。発見されたMylobotのサンプルを分析した結果、ボットネットを解凍して起動するために多段階のシーケンスを採用していることがわかった。

3つの異なるステージを持つとされ、1番目のステージでは「WillExec」と呼ばれるMylobotに感染させるためのドロッパを実行することが明らかにされている。また、3番目のステージで感染したコンピュータをプロキシサーバに変えるためのペイロードが実行され、ハードコードされたコマンド＆コントロール(C2: Command and Control)サーバのドメインに接続することが判明している。

調査によって、MyloBotに感染したシステムの数もわかっている。2020年の初めに最大25万台のユニークなシステムに感染していることが確認されており、その後は減少し、現在は毎日5万台以上のユニークなコンピュータに感染していると報告されている。現在、ボットネット全体の一部しか確認できていないと考えられており、この語、15万を超えるコンピューターが感染する可能性もあるという。