アダルトビデオ利用の攻撃がWindowsユーザだけでなくMacユーザも狙う

TrendLabs | Malware Blog

「Another Sex Tape, Another Malware Attack」より
Jun 24，2009　Posted by Jonathan Leopando

　トレンドマイクロのソリューションアーキテクト、Rik Fergusonがトレンドマクロ関連ブログサイト「Countermeasures」で、Twitterユーザを標的にした新しい脅威を取り上げています（英語情報のみ：「Targeted Attack Designed to Infect Both Macs and PCs.」）。この攻撃の概要は以下のとおりです。

　Twitterユーザ間ではよく知られている、ベンチャー投資家でコラムニストのGuy Kawasaki氏のTwitterアカウントがハッキングされ、不正な「tweet（つぶやき）」が投稿されました（図1参照）。その「つぶやき」には、リンクが含まれており、TVシリーズ「Gossip Girl」で知られる女優、Leighton Meesterのアダルトビデオが無料でダウンロードできると投稿されていました。このビデオテープ自体は、実際存在し、時期的にもぴったりでしたが、リンクは偽物でした。ユーザがリンクをクリックすると、複数の自動リダイレクトが発生し、結果として、アダルトビデオではなく不正プログラムをダウンロードするように誘導されます。

図1 Leighton Meesterのアダルトビデオへのリンクが表示されたGuy Kawasaki氏のTwitterアカウント

図2 Leightonのアダルトビデオがダウンロードされるはずの不正Webサイト

　この攻撃の筋書きは、よくある手口です。「アダルト」と名のつくものはよく売れるといいますが、今回も例外ではありませんでした。加えて、Guy Kawasaki氏という、かなり評判の良い人物のTwitterアカウントが悪用されたため、リンクは不正なものではないと信じた人も多かったことでしょう。

　今回の攻撃の特筆すべき点は、WindowsユーザだけでなくMacユーザも同様に被害を受けたことです。Macユーザは、一連の自動リダイレクトの後たどり着いた不正Webサイトから自動的に「OSX_JAHLAV.B」をダウンロードすることになりました。この不正プログラムは、ファイル “INSTALL.PKG” を含むディスクイメージファイル “ActiveXsetup.dmg” としてコンピュータに侵入します。”INSTALL.PKG”中には、「preinstall」および「preupgrade」というファイルが含まれており、両ファイルとも「UNIX_JAHLAV.B」として検出されます。”INSTALL.PKG”が実行されると、メッセージが表示され、「次へ」をクリックしてソフト（実際は不正プログラム）のインストールを完了させるよう、ユーザに促します。同時に、特定のIPアドレスに接続され、ひそかにほかの不正コンポーネントがダウンロードされ実行されるのです。

　一方、Windowsのユーザは、「TROJ_JAHLAV.B」をダウンロードすることになります。Macユーザのケースと同様に、この不正プログラムもユーザが気づかぬうちに、リダイレクト先の不正Webサイトからダウンロードされます。また、GUI（Graphical User Interface）の表示も行われ、いずれかのボタンを押すと不正プログラムが実行されるしくみも同じです。不正プログラムはまた、Webサイトに接続して「TROJ_ALLUREON.AME」をダウンロードします。これにより、感染したコンピュータ上で不正な活動が行われます。

　Trend Micro Smart Protection Network（SPN）により、今回の攻撃に関連するすべての不正Webサイトはブロックされ、すべての関連不正プログラムは検出されています。

　「安全」なソースからのリンクであっても、それをクリックしてWebサイトにアクセスする際は十分注意する必要があります。

2009年6月24日9:00pm時点での追加情報：

　Kawasaki氏は、Twitterへの投稿で、自身のTwitterアカウントがハッキングされたことを否定し、彼が自身のアカウントに掲載したリンク先のWebサイトがハッキングされたと述べています。

　ハッキングされたかどうかにかかわらず、投稿内のリンクにより、不正なファイルが拡散されているという事実に変わりはありません。以下のスクリーンショットは、「OSX_JAHLAV.B」として検出されるファイルをエディタで表示したものです。難読化されたbashスクリプトであることが確認できます。このスクリプト中に不正コードが含まれています。

図3. 難読化されたbashスクリプト

　以下のスクリーンショットは、Mac対応のTrend Micro Smart Surfingにより、不正Webサイトが警告された場合の一例です。

図4. 不正Webサイト上に表示された警告

　「Webレピュテーション」技術がアドオンされた場合、以下のようにブロックされます。

図5. ブロックされたWebサイト

執筆者： Jonathan Leopando Technical Communications Specialist TrendLabs Trend Micro Incorporated 2008年にトレンドマイクロに入社。現在、トレンドラボにてマルウェア解析情報、コアテクノロジー関連のマーケティングコンテンツ作成に従事。