「Google Code」とは、開発者がオープンソースのコードやプログラマ向けの各種API、関連ファイル等をホストする Google公式のオープンソースプロジェクト用ホスティングサイトです。トレンドマイクロでは、ブラジル国内のソーシングシステムを用いて、Java で記述された不正プログラムを確認。この不正なJava は、最近作成された ”flashplayerwindows” というプロジェクトから、主に金融機関を狙う情報収集型不正プログラム「BANKER」をダウンロードします。言うまでもなく、このプロジェクトは偽物で Adobe と一切関係ありません。
上述の不正な Java(「JAVA_DLOAD.AFJ」として検出)は、コンパイルされたファイルで、”AdobeFlashPlayer.exe” という実行ファイル(「TSPY_BANKER.VIX」として検出)をダウンロードし実行します。「TSPY_BANKER.VIX」が実行されると、Google Code にアクセスし他のファイルをダウンロードします。この事例の背後にいるサイバー犯罪者が上述の Google Code のページに不正なファイルをアップロードし、その中に BANKER が含まれていたと考えられます(なお、2013年8月8日時点、問題のファイルは、Google Code上から既に削除されています)。BANKER は、「ZBOT」や「SPYEYE」同様に金融機関の口座情報などを収集する不正プログラムとして悪名高く、通常、銀行サイトになりすましたフィッシングサイトを利用してユーザに個人情報を入力するよう促し、ユーザの個人情報を窃取します。サイバー犯罪者は、送金といった不正な金銭取引に収集した情報を悪用します。
BANKER に関連する事例としてこれまでも確認されています。その 1つとして、2013年5月下旬、改ざんされたブラジルの政府関連サイトに組み込まれているのが確認されており、ブラジルだけでなく、米国やアンゴラのユーザも影響を受けることになりました。また、2013年7月末、不正プログラムを含む偽プロジェクトが Google Code 上で確認されており、類似した脅威にさらされていたと考えられます。
今回の事例で注意すべき点は、BANKER自体の危険性だけでなく、Google Code といったよく知られた Webサイトがサイバー犯罪者の隠ぺい工作に悪用されたことです。Google の公式Webサイトに不正プログラムが組み込まれたという事実は、ダウンロードする不正プログラムが有効な SSL証明書で暗号化されていたということを意味します。つまり、これにより従来のセキュリティ製品の検出からの回避が可能となるのです。Google は、正規かつ信頼された Webサイトであるため、従来の Webサイト評価技術で今回のような脅威によるダウンロードを防ぐことは困難であると言えるでしょう。
トレンドマイクロでは、オープンソースのプロジェクトを悪用する類似した事例を確認しています。2013年6月中旬、開発者など開発に興味を示すユーザに人気があり、Google Code と同様のサービスを提供する「SourceForge」に不正プログラムが組み込まれていた事例について報告しました。
また、「2013年の脅威は何か? トレンドマイクロのセキュリティ予測」のなかで、2013年は Google Code といった正規のクラウド・サービス・プロバイダがサイバー犯罪者の攻撃の的になるだろうと予測しました。Google Code や SourceForge といったオープンソースプロジェクト用ホスティングサービスはユーザから注目を浴びていることから、近い将来、類似した事例が再び確認されるだろうと推測します。
トレンドマイクロ製品をご利用のユーザは、弊社クラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。「ファイルレピュテーション」技術により、この事例に関連する不正プログラムを検出し、削除します。
参考記事:
by Fernando Mercês (Regional TrendLabs Engineer)
翻訳:船越 麻衣子(Core Technology Marketing, TrendLabs)