引用元:https://securelist.com/the-magala-trojan-clicker-a-hidden-advertising-threat/78920/
トロイの木馬系アドウェア「Magala」の動作について、平成29年7月12日にKaspesky社が運営するWebサイト「Securelist」にて報告されました。
Kaspersky社の提供するセキュリティ製品では、当該マルウェアは「.Win32.Magala」という名前で検知されます。
広告のクリック回数の上昇による金銭取得を目的とし、具体的には、感染させた端末のユーザが特定のWebページをクリックする動作を真似するトロイの木馬系アドウェアで、コンピュータの資源の一部が消費されるといった被害が一般的です。
このマルウェアのよって最も被害を被るのは、広告費を払う人物、あるいは団体です。
(画像1:仮想デスクトップの初期化画面)
引用元:https://securelist.com/the-magala-trojan-clicker-a-hidden-advertising-threat/78920/
感染の初動として、MagalaはコンピュータにどのバージョンのInternet Explorerがインストールされているかを確認(画像1)し、システム内に身を潜めます。
※バージョン8より前のInternet Explorerへはトロイの木馬は実行されません。
バージョンを確認した後、ユーザに通知せず仮想デスクトップを初期化し、自動実行機能へ設定、レポートが難読化されたURLへ送信され、ユーザの意図に反しアドウェアをインストールしていきます。
IHTMLDocument2を用いてMapsGalaxyツールバーを読み込みシステムへインストール、システムレジストリへ(hxxp://hp.myway.comをMapsGalaxy)を追加し、それをブラウザのホームページへ変更します。
(画像2 :MapsGalaxyの検索バー)
引用元:https://securelist.com/the-magala-trojan-clicker-a-hidden-advertising-threat/78920/
検索バーがインストールされているかを確認する機能がトロイの木馬に組み込まれており、これは、適当なレジストリブランチの機能と共同で行われます。
(画像3:リモートサーバへ接続)
引用元:https://securelist.com/the-magala-trojan-clicker-a-hidden-advertising-threat/78920/
次に、リモートサーバに接続し、ブーストする必要のあるクリック数の検索クエリのリストを要求します。
(画像4:検索クエリのリストを受信)
引用元:https://securelist.com/the-magala-trojan-clicker-a-hidden-advertising-threat/78920/
このリストは、元のテキストファイルで 「そのままの状態」で送信されます。
(画像5:同リスト)
引用元:https://securelist.com/the-magala-trojan-clicker-a-hidden-advertising-threat/78920/
受信したリストを元に、プログラムが要求された検索クエリの送信を開始します。
これにより、各クリックの間に10秒間隔で検索結果の最初の10個のリンクをクリックします。
Magalaを含むアドウェアによるキャンペーンにおいて、クリック1回につき、平均$0.07(米ドル)が付与されるとのことで、Magalaは主にドイツ、アメリカにて頻繁に確認されているとのことです。
このアドウェアはランサムウェアのように金銭要求や暗号化を行わない一方で、正規のソフトウェアであるのか、あるいは不正ソフトウェアなのか、といった曖昧さを持ち、ユーザによる区別は困難とされます。