新型KoobfaceはFlashのアップデートプログラムを模倣

文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2009-10-15 08:00

 10月第3週の始め、ソーシャルエンジニアリングを利用したもっとも効率的なボットネットであるKoobfaceの管理者は、偽のYouTubeページに埋め込んだ、AdobeのFlashアップデートプログラムを真似る新たなテンプレートを使って、Facebook内でのキャンペーンを開始した。

 このマルウェア配布活動は、セキュリティ侵害を受けた正規のウェブページ(今では攻撃に利用されるサイト全体の77%になっている)と、すでにKoobfaceに感染したユーザーを装ってCAPTCHA認証プロセスを終えた、何百何千もの自動的に登録されたBlogspotアカウントを利用している。以前は、同グループは商用CAPTCHA認証サービスに依存していた

 現在、この活動でFacebookに投稿されているメッセージの例は次のようなものだ。

Coongratulations! You are on TV!
Funny vide0 with me :)
HHolly sshit! Are you rreally in thiss viideo?
Hollyy shhit! You are on hiidden cameera!
Nicee! YYour boooty lookks greaat on thiss videoo!
Saw thhat vvideo yesterdday… How coulld you do succh a thingg?
Sweet!! Yourr ass loooks greaat on thiss video!!
WWow! Is tthat reeally you in thaat videeo?
You must see this vide0 now! :)
You werre caughtt on our hiddeen camera!!

 Koobfaceに感染したFacebookユーザーが投稿したURLのページを閲覧すると、(感染したIPアドレス)/go.js? 0×3E8/youtube/console=yes/にリダイレクトされる。このページは、Koobfaceのsetup.exeを送り込むだけでなく、検知を逃れるために24時間おきに自動的にドメインが入れ替わる、スケアウェアのポップアップも表示する。この2重の収益化手法は、Koobfaceのグループが9月末から始めたもので、同グループは「Crusade Affiliates」と呼ばれるスケアウェアのアフィリエイトネットワークに加わることで収益を得ている。

(関連記事も参照して欲しい:Gallery: Social engineering tactics of the Koobface botnetKoobfaceワームがTwitter空間に進出Koobface Facebook worm still spreading56th variant of the Koobface worm detected

 「視覚的ソーシャルエンジニアリング」戦術は、サイバー犯罪エコシステムの中ではかなり前から収益化の手法として利用されており、有名なアプリケーションや物品を購入できるサイトの外見を真似る方法を使っている。最新のKoobfaceの配布活動では、YouTubeのスクリーンショットを作成する際にライセンスを得ていないHyperSnap 6が利用されているため、すべての偽のYouTubeページの画像には、ライセンスを購入するよう求めるメッセージが埋め込まれている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]