Facebook上でバレンタインに便乗した攻撃、Chromeが標的か

2月に入り、今年もまた男性も女性もソワソワと落ち着きがなくなる日、バレンタインデーが近づいてきました。そしてサイバー犯罪者も例年通り、この人気イベントを見逃すことはありません。「TrendLabs(トレンドラボ)」では、2012年のバレンタインデーに便乗した攻撃がソーシャル・ネットワーキング・サービス(SNS)「Facebook」上で行われていることを確認ました。

今回の攻撃では、まず感染ユーザの Facebook の「ウォール(各ユーザに与えられる『掲示板』のような機能)」に、バレンタイン用のテーマをインストールできることを紹介するメッセージが投稿されることから始まります(図1参照)。

図1:バレンタイン用のテーマについて紹介する投稿
図1:バレンタイン用のテーマについて紹介する投稿

興味を持ったユーザがこの投稿をクリックすると、別のページに誘導され、バレンタイン用テーマをインストールするように促されます(図2参照)。ただしこの攻撃では、ユーザが “Google Chrome” または “Mozilla Firefox” のブラウザを利用している場合にのみ展開されます。

図2: クリックすると誘導されるページ(「Google Chrome」または「Mozilla Firefox」を利用した場合)
図2:クリックすると誘導されるページ(「Google Chrome」または「Mozilla Firefox」を利用した場合)

ユーザが画面上にあるインストールボタンをクリックすると、不正なファイル “FacebookChrome.crx(「TROJ_FOOKBACE.A」として検出)” のダウンロードを促すポップアップメッセージが表示されます。この表示によりファイルをダウンロードし実行すると、この「TROJ_FOOKBACE.A」は、特定の Webサイトからの広告を表示する機能を備えたスクリプトを実行します。

図3:インストールボタンをクリックすると、
図4:その後、ポップアップメッセージが表示され、ポップアップメッセージ内の「Install」をクリックすると、
図3:インストールボタンをクリックすると、”FacebookChrome.crx”の DL を確認するメッセージが表示
図4:その後、ポップアップメッセージが表示され、ポップアップメッセージ内の「Install」をクリックすると、”FacebookChrome.crx”がダウンロードされる

また、この不正プログラムは、「Facebook Improvement |Facebook.com」という拡張機能として、ユーザのブラウザに自身をインストールします(図5および6参照)。

図5:「Facebook Improvement |Facebook.com」という拡張機能としてインストールされる
図6:表示された拡張機能「Facebook Improvement |Facebook.com」
図5:「Facebook Improvement |Facebook.com」という拡張機能としてインストールされる
図6:表示された拡張機能「Facebook Improvement |Facebook.com」

この不正な拡張機能がインストールされると、この不正プログラムはユーザのインターネット活動を監視し、ユーザの携帯番号を問うアンケートページへ誘導します。

一方、ユーザが Internet Explorer(IE)を利用している場合、問題の投稿をクリックすると、上述のような不正なファイルや拡張機能をインストールする手順を経ずに、直接このアンケートページへと誘導されます(図7参照)。

図7:誘導先のアンケートページ
図7:誘導先のアンケートページ

さらなる解析の結果、トレンドラボでは、今回の攻撃において Google Chrome や Mozilla Firefox を使用しているユーザがより大きな影響を受けることを確認しました。というもの、正規の拡張機能をダウンロードするように装うことで、ユーザ自身の判断に頼らず問題のアンケートページへ誘導することが可能だからです。一方、ユーザが IE を利用している場合、ユーザが問題の投稿をクリックしない限りアンケートページに誘導されることはありません。

この攻撃では Chrome における正規の拡張機能を装うことを念頭に設計されている点を考慮すると、Chromeユーザに的を絞って狙っており、IEユーザをアンケートページへと誘導する動作は補足的なものにすぎない、と結論づけることができるでしょう。

この攻撃において、ユーザは自身のインターネット活動を監視されることとなる一方、この「TROJ_FOOKBACE.A」は、情報を収集する機能を備えていません。こうしたことから、今回の攻撃は、ユーザのウォールに投稿されたメッセージをクリックすることで自動的にユーザの「友達」のウォールに同じ不正なメッセージが投稿されるという「クリックジャック攻撃」に似た攻撃であると言えるでしょう。

さらに Chrome や Firefox のユーザが攻撃の標的となっている点を考察すると、サイバー犯罪者がブラウザにおける拡張機能の互換性のほかに、これらのブラウザが多くの人が利用しているという人気に目をつけていることが伺えます。今回のような手口を利用した攻撃は目新しいわけではありませんが、ブラウザの拡張機能を利用している点では、今までにない手口と言えます。次々に新しい手口が確認されるという事実から、私たちは、今後も引き続き、インターネット上での脅威に対し注意を払っていかなければなりません。

Facebook関連の脅威に対しても、トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、上述の攻撃から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」では、「Webレピュテーション」技術により、ユーザがアクセスする前に、不正なWebサイトへの接続をブロックし、「ファイルレピュテーション」技術により、関連するファイルを検出し削除します。

参考記事:

  • Facebook Valentine’s Theme Leads to Malware
     by Christopher Talampas(Fraud Analyst)

    •  翻訳:宮越 ちひろ(Core Technology Marketing, TrendLabs)

    Related posts:

    1. Android端末を狙う偽アプリ再び確認 Adobe Flash Player を装う
    2. Mac OS X を狙う不正プログラム「MORCUT」を確認:この脅威に留意する理由とは?
    3. 標的型攻撃用に特注されたRAT「PlugX」と「PoisonIvy」の緊密な関係が明らかに
    4. Skype経由で拡散するワーム「WORM_DORKBOT」