Palo Alto NetworksのセキュリティチームUnit42は12月14日(米国時間)、「PyMICROPSIA: New Information-Stealing Trojan from AridViper」において、トロイの木馬型マルウェア「MICROPSIA」の新しい亜種が発見されたことをレポートした。MICROPSIAは機密情報の窃盗を目的として利用されるマルウェアで、今回発見された亜種はPythonで記述されているため「PyMICROPSIA」と名付けられた。MICROPSIAは中東地域を標的としたサイバー犯罪グループのAridViperによって使用されていることで知られており、PyMICROPSIAによる攻撃も同様にAridViperが関わっている可能性が高いという。
PyMICROPSIAは対象のコンピュータに感染すると、リモートからの攻撃コマンドに応じてさまざまな情報を盗み出し、外部のサーバに送信する。具体的には、次のような機能が備わっているという。
- ファイルのアップロード
- ペイロードのダウンロードと実行
- ブラウザの認証情報の窃取、閲覧履歴やプロファイルの削除
- スクリーンショットの撮影
- キーロギング
- (盗み取った情報のための)RAR圧縮
- プロセス情報の収集とプロセスの停止
- ファイルリストの収集
- ファイルの削除
- マシンの再起動
- Outlook.ostファイルの収集およびOutlookプロセスの停止と無効化
- ファイルやフォルダの削除、作成、圧縮、削除
- USBドライブからの情報の収集
- オーディオ録音
- 任意のコマンドの実行
前述のように、PyMICROPSIA自身はPythonで記述されており、PyInstallerを使ってWindowsの実行ファイルとしてパッケージングされているという。オーディオの録音やスクリーンショットの撮影、Windows OSとのインタラクションのためなどにPythonの組込みライブラリが利用されていることが、興味深い点として挙げられている。また、PyMICROPSIAはWindowsのみをターゲットにしたものだが、「posix」や「darwin」といった他のOSをチェックするコードスニペットも含まれており、これも興味深い点だという。
Unit 42のレポートには、PyMICROPSIAによる具体的な攻撃コマンドや追加のペイロード、既知のMICROPSIAとの関連などといった分析結果が掲載されている。