YouTube上の偽広告からランサムウェア感染へ誘導、主に米国で被害

トレンドマイクロは、2014年10月、偽広告を利用し、利用者を不正プログラムに感染させようとする攻撃を YouTube 上で新たに確認しました。偽広告は、不正なコードを含む Webサイトにユーザを誘導するためによく利用される手法ですが、今回の確認された偽広告は、最終的に利用者をランサムウェアに感染させようとするものでした。

トレンドマイクロでは、過去数カ月間に渡り、さまざまな不正 Webサイトにユーザを誘導する偽広告を利用した不正活動を監視してきました。その結果、米国のユーザが圧倒的に影響を受けており、米国だけで 30日間で 11万3千人のユーザが影響を受けたことを確認しました。

図1:偽広告を利用した不正活動の影響を受けた国
図1:偽広告を利用した不正活動の影響を受けた国

今回確認された偽広告は、YouTubeのサイト上に表示されただけでなく、1,100万回以上再生された動画上でも表示されました。具体的には、有名なレコードレーベルがアップロードしたミュージックビデオでした。

弊社が確認した偽広告は、利用者を YouTube から不正な Web サイトに直接誘導するものではありませんでした。この広告は、2つの広告サイトを経由しており、今回の不正活動の裏にいるサイバー犯罪者は、正規の広告主から広告枠を購入したものと思われます。

この不正活動を正規に見せるため、攻撃者は DNS情報を改変し、不正サイトをポーランド政府 Webサイトのように見せかけました。攻撃者は正規の Webサイトを改ざんするのではなく、ポーランド政府サイトの特定のサブドメインを自身のサーバに名前解決されるよう DNS情報を改変することで被害者を不正サイトへ誘導します。ただし、この誘導を具体的にどのように実行したかはまだ明らかになっていません。

偽広告にアクセスした利用者のトラフィックはオランダに置かれた 2つのリダイレクトサーバを経由して、最終的に米国に置かれた不正なサーバに送信されます。

今回の攻撃では、脆弱性を攻撃するためにエクスプロイトキット「Sweet Orange」が利用されました。「Sweet Orange」は、下記の脆弱性を利用することで知られているエクスプロイトキットです。

弊社の解析によると、この不正活動に利用された「Sweet Orange」のバージョンは、Internet Explorer(IE)に存在する脆弱性を利用することが判明しました。不正プログラムの侵入に利用する URL は常に変化しますが、これらの URLはすべて上述したポーランド政府 Webサイト上のサブドメインを利用しています。また、感染する不正プログラムの挙動はすべて同一です。

今回の攻撃における最終的な不正活動は、「TROJ_KOVTER.SM」として検出される「KOVTER」ファミリの亜種です。このファミリは、「身代金要求型不正プログラム(ランサムウェア)」としてさまざまな攻撃に利用されることで知られていますが、「Cryptolocker」のような暗号化技術を利用した巧妙な攻撃は行いません。偽の警告画面を表示するために「TROJ_KOVTER.SM」がアクセスする Webサイトはすでに接続不可となっています。

この攻撃で利用されているIEの脆弱性について、Microsoft では 2013年5月に更新プログラムを公開しており、PC を最新の状態にしているユーザは影響を受けません。攻撃者は古い脆弱性を利用するため、Microsoft や Java、Adobe といった企業から公開されるセキュリティ情報に目を通し、更新プログラムを適用して下さい。必要なパッチを適用することは、PC の保護に不可欠です。ファイルのバックアップも、今回のような攻撃が起こった際の情報損失を防ぐため、良いセキュリティ対策となるでしょう。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

また、弊社のブラウザ向けの脆弱性利用対策技術「ブラウザガード」は、今回の攻撃に関連したファイルや不正なWebサイトをブロックするだけでなく、脆弱性を利用した攻撃からユーザを保護します。

なお、今回の攻撃の一部として検出された不正プログラムのハッシュは以下のとおりです。

  • 09BD2F32048273BD4A5B383824B9C3364B3F2575
  • 0AEAD03C6956C4B0182A9AC079CA263CD851B122
  • 1D35B49D92A6E41703F3A3011CA60BCEFB0F1025
  • 32D104272EE93F55DFFD5A872FFA6099A3FBE4AA
  • 395B603BAD6AFACA226A215F10A446110B4A2A9D
  • 6D49793FE9EED12BD1FAA4CB7CBB81EEDA0F74B6
  • 738C81B1F04C7BC59AD2AE3C9E09E305AE4FEE2D
  • A1A5F8A789B19BE848B0F2A00AE1D0ECB35DCDB0
  • A7F3217EC1998393CBCF2ED582503A1CE4777359
  • C75C0942F7C5620932D1DE66A1CE60B7AB681C7F
  • E61F76F96A60225BD9AF3AC2E207EA340302B523
  • FF3C497770EB1ACB6295147358F199927C76AF21

協力執筆者:Rhena Inocencio

参考記事:

  • YouTube Ads Lead To Exploit Kits, Hit US Victims
    by Joseph C Chen (Fraud Researcher)

    •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 進化する「Nuclear Exploit Kit」、Silverlightに存在する脆弱性も利用
    2. 韓国の銀行を狙うオンライン銀行詐欺ツール、C&Cサーバへの経路にPinterestを利用
    3. 2014年を振り返る:脆弱性を利用するエクスプロイトキットの攻撃手法
    4. 英有名ニュースサイトのブログからランサムウェア「CrypTesla」が拡散