「TrendLabs(トレンドラボ)」は、2013年7月30日、“Google Chrome” または “Mozilla Firefox” のいずれかのユーザを狙う、ソーシャル・ネットワーキング・サービス(SNS)に潜む脅威を改めて確認しました。この脅威は、これら両方のブラウザの偽の拡張機能を使いユーザのコンピュータに侵入したり、特に「Facebook」や「Google+」、「Twitter」といったSNSのアカウントを乗っ取ります。
ユーザは、これらの偽の拡張機能をインストールさせられるために、SNS上でさまざまな「罠」に遭遇することとなり、偽の動画プレイヤーの更新をインストールするよう促されます。しかし実際は、このプレイヤーの更新ファイルは、「TROJ_FEBUSER.AA」として検出される不正ファイルであり、感染ユーザが使用しているブラウザに応じてブラウザのプラグインをインストールします。
弊社が確認した Google Chrome 用の1つ前のバージョンは、「JS_FEBUSER.AA」として検出されており、「Chrome Service Pack 5.0.0」という名称が使われています。 一方、Mozilla Firefox 用の偽プラグインは、「Mozilla Service Pack 5.0」です。
 |
|
|
Google Chrome は、このプラグインを不正なものと認識しているため、このプラグインの更新バージョンが既に流布しており、「JS_FEBUSER.AB」として検出。問題の更新バージョンは、「F-Secure Security Pack 6.1.0」(Google Chrome用)と「F-Secure Security Pack 6.1」(Mozilla Firefox用)という名称が利用されています。
 |
|
|
この不正なプラグインは、一旦インストールされると、不正なWebサイトにアクセスし、設定ファイルをダウンロードします。そして、ダウンロードした設定ファイルの詳細を利用し、ユーザに気づかれることなく、SNSアカウントを乗っ取ります。その後、以下の動作を実行します。
- ページに「いいね!」をする
- 投稿をシェアする
- グループに加わる
- 友達をグループに招待する
- 友達とチャットをする
- コメントを投稿する
- ステータスを更新
上述の不正活動は、「Facebook」、「Google+」、そして「Twitter」の3つの異なるSNSで確認されています。これによりサイバー犯罪者は、実際に、ユーザのアカウントを乗っ取ることができ、乗っ取ったアカウントを悪用して、不正なWebサイトに誘導するリンクを拡散させます。
今回の事例において、もう1つ言及すべきことがあります。それは、偽の動画プレイヤー更新ファイルにはデジタル署名が付与されている事です。開発者と発行者は、このデジタル署名によりファイルが開発者等から正当に配信され、かつ変更が加えられていない事を証明されます。そのため、今回の偽プラグインに付与されている偽デジタル署名により正規で無害なものだと考え、被害者になってしまうケースが考えられます。
 |
|
|
この署名が不正に発行されたものなのか、正式な組織の署名キーが改変されこの種の目的のため使われたものなのか、まだ明らかになっていません。
ユーザは、このような事例に今一度注意をはらい、慎重になる必要があります。サイバー犯罪は、手口をさらに巧妙なものにし、自身を正規のものに見せるために正規のサービスやユーザを悪用することさえします。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
参考記事:
by Don Ladores (Threat Response Engineer)
翻訳:木内 牧(Core Technology Marketing, TrendLabs)