Adobe Flash は、インターネットで最も普及している製品の 1 つですが、その世界的な普及度のために、頻繁にサイバー犯罪者の標的にされています。犯罪者はソーシャルエンジニアリングの手法を用いて、偽の Flash 更新サイトからマルウェアを配布します。ソフトウェア更新を探しにきた無防備なユーザーが、それに騙されて知らないうちにマルウェアをインストールしてしまうわけです。
最近も、Adobe Flash Player の更新ページに偽装している次のサイトを発見しました。
http://16.a[削除済み]rks.com/adobe/
図 1. 偽の Adobe Flash 更新ページ
攻撃者は、もっともらしいランディングページを作成していますが、つじつまの合わないところもいくつかあります。大半のリンクは攻撃側のドメインに戻されて解決します。マルウェア自体へのリンクを除けば、ページ内のすべてのリンクはサイトのルートディレクトリに戻されて解決し、404 エラーになります。
攻撃者の主な目的は、インストールを成功させて、2 つのオプションをユーザーに提示し、どちらに転んでも思い通りの結果を得られるようにすることです。
オプション 1 は、flash_player_updater.exe というファイルのダウンロードを要求するポップアップメッセージです。
オプション 2 は、update_flash_player.exe というファイルのダウンロードを要求する[Download Now(今すぐダウンロード)]ボタンです。
シマンテックは現在、どちらのファイルも Downloader.Ponik として検出します。
この脅威を分析する中で明らかになったのは、2 つのファイルが、パスワードを盗むだけでなく、一般的なクライアントすべてを対象に FTP/telnet/SSH の証明書を探しているらしいということです。さらに、どちらのファイルも SMTP、IMAP、POP3 のクレデンシャルを監視しています。
この 2 つのファイルは同じものですが、動作が違います。いずれも不正な利益を狙ったものですが、オプション 1 はランサムウェアをインストールし、オプション 2 は広告クリック処理コンポーネントをインストールします。
オプション 1
図 2. コマンド & コントロール(C&C)サーバー
flash_player_updater.exe ファイルは、次の URL に対する /POST 要求をポート 8080 で開きます。
http://lum[削除済み]th.com/forum/viewtopic.php
このトロイの木馬は、次の場所からファイルをダウンロードするためのコマンドを受信します。
- http://ocean[削除済み]ba.co.za/
- http://sys[削除済み]55.info/
- http://topaz[削除済み]al.net/
3 つのサイトにあるファイルはまったく同じものであり、場所が 3 つも用意されているのは、攻撃力が弱まらないようにするためです。何らかの理由でいずれかのサイトにアクセスできなくなっても、他の場所から通信できるようにしているのです。シマンテックは、これらの 3 つのファイルを Trojan.Ransomlock.Q として検出します。
このファイルがコンピュータで実行されると、Trojan.Ransomlock.Q の新しい亜種が侵入先のコンピュータにコピーされます。
次に、このトロイの木馬は、次のコマンド & コントロール(C&C)サーバーに接続して、侵入先のコンピュータがロックされる前に暗号化済みのファイルをダウンロードします。
http://c[削除済み]l.ru
図 3. 暗号化済みファイルのダウンロード
図 4. 数分後に表示される Ransomlock の画面
図 5. ページの最後にある「cibercrime」というスペルミス
さらに興味深いことに、このマルウェアは、侵入先のコンピュータで実行されているウイルス対策ソフトウェアのブランドを検出し、デフォルトの Windows ロゴの上にそのウイルス対策ソフトウェアメーカーのロゴを重ねて表示します。シマンテックは、この脅威に対する保護対策をすでに提供しているため、マルウェアの機能を正しくテストするために、ノートン 360 を一時的に無効にせざるをえませんでした。
図 6. Windows ロゴの上にノートンのロゴを重ねて表示するランサムウェア
MoneyPak は 14 桁の数値を使用しているので、試しに 14 桁のコードを適当に入力してみたところ、次のような画面が表示されました。
図 7. コンピュータのロックを解除することを約束する偽のメッセージ
この通信データは暗号化されて、次の場所にある C&C サーバーに送り返され、検索用に格納されます。
http://c[削除済み]l.ru
当然ながら、これでロックが解除されることはありません。
オプション 2
update_flash_player.exe ファイルは、次の URL に対する /POST 要求をポート 8080 で開きます。
http://lum[削除済み]th.com/forum/viewtopic.php
このトロイの木馬は、次の場所からファイルをダウンロードするためのコマンドを受信します。
- twinp[削除済み] ng.com/
- labos[削除済み]ra.eu/
- ftp.calm[削除済み]ge.com/
侵入先のコンピュータにファイルがインストールされ、クリック詐欺がバックグラウンドで秘かに実行されます。
図 8. クリック詐欺のトラフィック
シマンテックは、これらのファイルに対する保護を提供しており、Trojan Horse として検出します。
そもそも被害に遭わないようにするために、ウイルス対策の定義ファイルやソフトウェアは定期的に更新するようにしてください。また、無関係の第三者のサイトから更新をダウンロードするのではなく、表示されたダウンロード URL は常に入念に確認してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。