10月15日、TrendLabs Malware Blog(英語ブログ:This Kitty Ain’t That Cute…)にてWORM_NUWAR.ARC(通称 StormWorm)がWeb経由で拡散している状況を報告させていただきました。すでに英語で記事をご確認いただいている方もいらっしゃるのではないでしょうか。
今回の脅威を新たな手口と報じているメディアもあります。もちろん、子猫の画像を使用したという点では新しい手口です。しかし、本質的にはこれまでのStormWormに共通する手口を使用しています。
拡散の流れを分析してみましょう。
攻撃の始点はメールにあります。同メールは、昨今のStormWormと同様に添付ファイルはありません。
非常にシンプルな件名、本文で構成されたメールです。
件名:Check out this greeting!
本文:Here is the new Psycho cat card.http://{BLOCKED}
本文にあるURLをクリックすることで、笑う子猫にたどり着きます。
笑う子猫が表示されたら、あなたのパソコンは笑っていられなくなります。
その裏では、WORM_NUWAR.ARC(ファイル名:SuperLaugh.exe)が無条件であなたのパソコンへダウンロードされています。
ドライブバイダウンロードと呼ばれる「Webからの脅威」において典型的な攻撃手法です。
|
| メールのリンクをクリックすることで、無料のグリーティングカードダウンロードページに誘導。 同ページには、不正なプログラムが自動でダウンロードされる「ドライブバイダウンロード」を試みるスクリプトの存在を確認しています。 |
なぜ、悪意あるユーザは笑う子猫の写真をつかったのでしょうか。
彼らが期待していた効果は、チェーンメール的にダウンロードURLを拡散させることと思われます。
始点が悪意あるユーザのシンプルなメールであっても、チェーンメール化することで、送信元は信頼できるユーザとなり、本文も信頼できる巧みな紹介文へ変化していくことが期待できます。
このようなチェーンメール化が期待できる手法は、今回使用された「グリーティングカードの紹介」意外にも以下のようなものがあげられます。
-
新しいゲームの紹介、Flashなどを使った簡易ゲームの紹介
-
スクリーンセーバーの紹介
-
動画サイトの紹介
-
時事ネタ
StormWormでもこれら手口の使用実績が確認されています。
チェーンメール化が期待できるケースでは、本文は内容の伝わる最低限のもので、最大の効果が期待できます。
そして今、悪意あるユーザが力をいれてるのは、巧みな詐称サイトの作成とその存続期間の延命です。
いくら、チェーンメールによって利用者がURLを紹介してくれるといっても、そのURLがアクセスできなくなってしまえば、目的を達成することはできません。
今回のケースでは、WORM_NUWAR.ARCをアップロードしたサーバが複数確認されています。さらに、それらサーバの設置国は分散されています。これらはすべて、ウイルスアップロードサイトの延命効果を狙った対策であると推測しています。
下記の図はサーバ設置国をGoogleマップでポインティングしたものです。
|
| WORM_NUWAR.ARCアップロードサーバの分布地図 サーバを保持している地域をGoogleマップ上にポインティング。画像には表示されていない、韓国やマレーシアなどにもアップロードサーバの存在を確認しています。 |
この地図から読み取れるとおり、WORM_NUWAR.ARCがアップロードされたサーバは、北米地域/ヨーロッパ諸国と世界各国に分散配置されています。
* なお、今回のケースでは、アジア圏への設置はごくわずかでした。
悪意あるサイトの取り締まりは国によってまちまちです。このため、サーバの設置国を複数に分散することで、より長い延命効果を得ることができます。
今後、StormWormはどこに向かおうとしているのでしょうか。
リージョナルトレンドラボでは引き続き、StormWormの動向について分析を行っていきます。