Facebook Messenger を通して拡散し、仮想通貨取引プラットフォームの認証情報の窃取、仮想通貨取引処理の乗っ取り、ユーザの PC リソースを盗用した仮想通貨の発掘(マイニング)等、仮想通貨に関連したさまざまな不正活動を実行する Chrome 拡張機能「FacexWorm(フェイスエックスワーム)」が、トレンドマイクロの「Cyber Safety Solutions チーム」によって確認されました。この FacexWorm に感染したユーザがわずかながら確認されています。ただし、弊社が注意喚起した時点で、既に FacexWorm の多くがChrome から削除済みとなっていました。
FacexWorm は新しいマルウェアではありません。2017 年 8 月に確認されましたが、その当時は目的や手法についてはっきりとは分かっていませんでした。2018 年 4 月 8 日、トレンドマイクロは FacexWorm による活動の急増を確認しました。この急増は、FacexWormが、ドイツ、チュニジア、日本、台湾、韓国、スペインで確認されたとする報道とも一致します。
今回確認された FacexWorm を解析したところ、その機能に大きな変更が加えられていることが判明しました。感染した Facebook アカウントから友達情報を取得し、ソーシャルエンジニアリングの手法を利用した Web ページへのリンクを送信する「DIGMINE」のような機能はそのままに、仮想通貨を狙うさまざまな機能が追加されていました。追加された機能は以下の通りです。
- 検索サービス「Google」、ウォレットサービス「MyMonero」、仮想通貨発掘ツール「Coinhive」のアカウント認証情報を窃取
- 仮想通貨詐欺ページにリダイレクト
- Web ブラウザを利用した不正な仮想通貨発掘活動
- 仮想通貨取引処理の乗っ取り
- 仮想通貨関連の「Referral Program(紹介プログラム)」への誘導
攻撃者のウォレットアドレスを調査したところ、FacexWorm によって乗っ取られた仮想通貨取引処理は、ビットコインによる一件が確認されているのみでした。不正な Web マイニングによってどの程度利益を上げたのかは不明です。
図 1:FacexWorm の感染の流れ
■拡散手法
FacexWorm は、Facebook Messenger 宛てにソーシャルエンジニアリングの手法を利用した Web ページへのリンクを送信することで拡散します。このリンクは、偽の YouTube ページにリダイレクトし、Web ページ上の動画を再生するためのコーデックだと偽ってユーザに Chrome 拡張機能を追加するように要求します。この拡張機能をインストールすると、次は「閲覧したすべての Web サイト上のユーザデータの読み取りと変更」が可能になる権限を要求されます。
図 2:FacexWorm のインストールを要求する偽の YouTube ページ
図 3:FacexWorm が送信したメッセージの例
ユーザが権限を許可すると、FacexWorm はコマンド&コントロール(C&C)サーバから追加で不正なコードをダウンロードし、正規の Facebook ページを開きます。FacexWorm は Facebook が開かれたことを検知すると、拡散のために利用する機能が有効化されているチェックするために C&C サーバと再び通信します。
拡散のための機能が有効化されている場合、FacexWorm は、認可情報を委譲する仕様「OAuth」のアクセストークンをFacebook に要求します。次に、FacexWorm はこのトークンを利用して Facebook に一連のクエリを送信してアカウントの友達一覧情報を取得し、オンラインまたは直近までオンラインだった友達宛に偽の YouTube 動画ページへのリンクを送信します。デスクトップ版の Chorme ブラウザ以外からこの不正なリンクにアクセスすると、無作為な広告にリダイレクトされます。
■不正活動
FacexWorm は通常の Chrome 拡張機能を複製し、主な不正機能を担う短いコードを埋め込んだものです。ユーザがブラウザを開くと、このコードが C&C サーバから追加の JavaScript のコードをダウンロードします。ユーザが新しく Web ページを開くたびに FacexWorm が C&C サーバにクエリを送信して新しいコードの有無を確認します。新しいコードがある場合、GitHub でホストされているリポジトリから JavaScript のコードを取得し、Web ページ上で不正活動を行います。
図 4:FacexWorm が C&C サーバと通信するトラフィック
FacexWorm による不正活動は以下の通りです。
- 検索サービス「Google」、ウォレットサービス「MyMonero」、仮想通貨発掘ツール「Coinhive」のアカウント認証情報を窃取
これらのサービスのログインページが開かれていることを検知し、ユーザによるフォーム入力とログインボタンのクリック後、認証情報を C&C サーバに送信します。 - 仮想通貨詐欺ページにリダイレクト
ユーザが、攻撃者が狙う 52 の仮想通貨取引プラットフォームにアクセスしたこと、または、アドレスバーに「blockchain」、「eth~」、「ethereum」を含む文字列を入力したことを検知すると詐欺ページにリダイレクトします。この詐欺ページは、5~100 Ether(分散型アプリケーションプラットフォーム「Ethereum」の仮想通貨、ETH)を受け取るための認証のためだと偽り、攻撃者のウォレットアドレスに 0.5~10 ETHを送金するように誘導します。FacexWorm はクッキーにタイムスタンプ情報を保持しており、1 時間以内には問題の詐欺ページにリダイレクトしない仕組みになっています。そのため、ユーザは一度詐欺ページを閉じ、本来のページにもう一度アクセスすることでこの攻撃を回避することができます。ただし、時間が経ってからアクセスすると、再び詐欺ページにリダイレクトされてしまいます。今のところ、攻撃者のアドレスに ETH を送信したユーザは確認されていません。
図 5:仮想通貨詐欺の Web ページ - Web ブラウザを利用した不正な仮想通貨発掘活動
FacexWorm は、ユーザが開いた Web ページに JavaScript の仮想通貨発掘ツール(コインマイナー)を埋め込みます。このコインマイナーは、難読化された Coinhive のスクリプトで、Coinhive の発掘プールに接続します。設定情報を確認したところ、感染 PC の 20% のリソースを盗用するスレッドを 4 つ実行する設定になっていました。
図 6:不正なコインマイナー内の Coinhive の設定(難読化解除済み) - 仮想通貨取引処理の乗っ取り
ユーザが仮想通貨に関連した Web サイトの取引処理ページを開くと、FacexWorm はユーザがキー入力した送金先アドレスを特定し、攻撃者が指定したアドレスに置き換えます。対象となる取引プラットフォームは、「Poloniex」、「HitBTC」、「Ethfinex」、「Binance」、「Blockchain.info」です。また、「ビットコイン(BTC)」、「Bitcoin Gold (BTG)」、「Bitcoin Cash (BCH)」、「Dash (DASH)」、「ETH」、「Ethereum Classic (ETC)」、「Ripple (XRP)」、「Litecoin (LTC)」、「Zcash (ZEC)」、「Monero (XMR)」などの仮想通貨が狙われました。攻撃者が指定したアドレスを、2018 年 4 月 19 日時点で確認したところ、0.00030275 BTC(2018 年 5 月 7 日時点で約308円)の取引処理が 1 件乗っ取られているのみでした。
図 7:ビットコインアドレスを書き換える不正なスクリプト(上、難読化解除済み)
アドレスが書き換えられた Web ページの例(下)
図 8:FacexWorm に乗っ取られたビットコイン送金処理 - 仮想通貨関連の紹介プログラムへの誘導
ユーザが対象の Web サイトにアクセスすると、FacexWorm が、同一サイト内の攻撃者が指定した紹介プログラムのリンクに誘導します。ユーザがこのリンクからアカウントを登録すると、攻撃者に紹介料が入る仕組みです。狙われた Web サイトには、「Binance」、「DigitalOcean」、「FreeBitco.in」、「FreeDoge.co.in」、「HashFlare」などがあります。
図 9:FacexWorm が狙う Web サイトと紹介プログラムコード
■活動を持続する仕組み
FacexWorm は、ブラウザから削除されないための仕組みを備えています。ユーザが Chrome 拡張機能の管理ページ「chrome://extensions/」を開こうとしていることを検知すると、すぐにこの管理ページのタブを閉じます。拡張機能管理ページへのアクセスを阻止するこの挙動は、「DROIDCLUB」のようなその他の不正な拡張機能でも利用されています。ただし、DROIDCLUB はタブを閉じる代わりに偽の管理ページを表示します。
図 10:C&Cサーバと通信し、Chrome 拡張機能の管理ページを閉じるコード(難読化解除済み)
■被害に遭わないためには
攻撃者は、継続的に FacexWorm を Chrome ウェブストアにアップロードしようと試みていますが、トレンドマイクロは、それらの不正な拡張機能が削除されていることを確認しています。また、Facebook Messenger は、FacexWorm が送信する、ソーシャルエンジニアリングの手法を利用した Web ページへのリンクを検出し、感染したアカウントによる拡散活動をブロックしています。このような対策は FacexWorm による影響を緩和する上で有効だと考えられます。ユーザ側では、FacexWorm やこれに類似した脅威の被害を受けないためのベストプラクティスに従ってください。ベストプラクティスには、SNS でシェアする前によく検討すること、望まないメッセージや不審なメッセージに用心すること、SNS アカウントのプライバシー設定を厳重にすることなどが含まれます。
トレンドマイクロは、今回の脅威について得られた知見を Facebook に情報開示しました。Facebook と弊社は、プロアクティブなセキュリティパートナーシップを締結しています。同社は FacexWorm のような脅威に対抗する取り組みについて以下のように述べています。「私たちは、有害なリンクやファイルが Facebook および Facebook Messenger で確認されることを防ぐために、多くの自動化されたシステムを運用しています。もしあなたの PC にマルウェア感染の疑いがある場合、信頼できる提携企業による無料のウイルススキャンを提供しています。PC を安全に保つためのアドバイスと、ウイルススキャンへのリンクは「facebook.com/help」で提供しています。」
■侵入の痕跡(Indicators of Compromise、IoC)
FacexWorm に関連した CRX ファイル(Chrome 拡張機能のパッケージファイル)の SHA256 値は以下の通りです。
- 008c71429e51ae5163fc914a4f0e7157fc0389020ed0a921fe64540467cbb371
- 3445b059e5e8b1e5a56cc57a38506317bf44035c95a2a053c916ca54017a40e5
- 22a8c09181a9f6e06d102bbb0d5372560cf3a432fe3c68e6554a81e3083fbc4f
- ea5abce0977b31238b715bd08b04808f8ff863134516c085cf5e0403b4268635
- 026742d5eb89338f639d13e543180043973b531b9004a52391b262337dd5df91
FacexWorm に関連した Chrome 拡張機能の ID は以下の通りです。
- akoefpoebeaikfcpoghppjcnhklffcjm
- ecfpnbgianoaiocjciahnkfognimimhf
- fanjaialdpcmadoodgppaaaldpccaedc
- jolmnflkapibjdpmiiofkopkdgklckll
- kojocamkjcbpcnibahfhomfjnliglfeo
FacexWorm に関連した詐欺ページのドメインは以下の通りです。
- video-sig[.]blogspot[.]com
- video-goyd[.]blogspot[.]com
- vido[.]vigor[.]design
- dot[.]filmnag[.]com
- filmnag[.]com
FacexWorm に関連した C&C サーバのドメインは以下の通りです。
- dirg[.]me
- seap[.]co
- roes[.]me
- ijocire[.]bid
- pingli[.]bid
- upej[.]date
- jsapi[.]me
- jsdo[.]bid
- uef[.]date
- uto[.]date
- dnseat[.]us
- ikesa[.]date
- yci[.]date
参考記事:
- 「FacexWorm Targets Cryptocurrency Trading Platforms, Abuses Facebook Messenger for Propagation」
by Joseph C Chen (Fraud Researcher)
翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)
