ボットネット「KOOBFACE」、「Googleリーダー」を悪用する

TrendLabs | Malware Blog

Koobface Abuses Google Reader Pages」より
Nov 09, 2009 Jonell Baltazar

 「KOOBFACE」は、「Facebook」や「MySpace」、「Twitter」などのソーシャル・ネットワーキング・サイト(SNS)を悪用して不正活動するボットネットとしてよく知られています。今回、トレンドマイクロは、このボットネットが新たな手口を利用したことを確認しました。SNS上で不正URLをばら撒くために、Googleのフィードリーダー「Google リーダー」を悪用したのです。

 「KOOBFACE」の首謀者は、フラッシュムービーに似せた画像が掲載されたWebページを、乗っ取ったGoogle リーダーのアカウントに組み込みました。そして、このWebページのURLは上記SNS上で大量送信されました。ユーザが画像または共有されたコンテンツのタイトルをクリックすると、「KOOBFACE」攻撃ではおなじみですが、偽「YouTube」のページにリダイレクトされます。リダイレクトされたページには、「KOOBFACE」のダウンローダが組み込まれているのです。

図1.「KOOBFACE」関連ファイルに組み込まれたGoogle リーダーのWebページ
図1.「KOOBFACE」関連ファイルが組み込まれた「Google リーダー」のWebページ

図2.リダイレクトされた偽「YouTube」のページ
図2.リダイレクトされた偽「YouTube」のページ

 Google リーダーは、興味あるWebサイトやブログの更新状況をチェックできる無料のサービスで、Webサイト上のコンテンツを共有することも可能です。オンライン上のユーザなら共有されたページは誰でも閲覧することができます。ユーザは、自身が定期購読したページ下部の「Share」ボタン(図3参照)をクリックするだけで、簡単にお気に入りのページを一般公開することができ、自身の「公開ページ」にコンテンツが表示されます。

図3.Google リーダーのボタン「Share」
図3.Google リーダーの「Share」ボタン

 サイバー犯罪者は、一般公開しコンテンツを共有するこの機能を悪用。Google リーダーのドメインを用いて不正なリンクをばら撒きました。

 トレンドマイクロでは、既にGoogleに不正コンテンツを削除するよう依頼しています。現時点で、1300のGoogleアカウントが今回の攻撃に利用されています。なお、これらのアカウントに組み込まれスパム活動に用いられた不正URLは、トレンドマイクロの製品で既にブロックされています。

 翻訳: カストロ 麻衣子(Technical Communications Specialist, TrendLabs)

執筆者:
Jonell Baltazar

Advanced Threats Researcher
TrendLabs
Trend Micro Incorporated

 2004年にトレンドマイクロに入社。現在、Trend Micro Threat Researchチームで、先端脅威研究員として従事。ボットネット「KOOBFACE」をメインに分析・調査している。