10月第3週の始め、ソーシャルエンジニアリングを利用したもっとも効率的なボットネットであるKoobfaceの管理者は、偽のYouTubeページに埋め込んだ、AdobeのFlashアップデートプログラムを真似る新たなテンプレートを使って、Facebook内でのキャンペーンを開始した。
このマルウェア配布活動は、セキュリティ侵害を受けた正規のウェブページ(今では攻撃に利用されるサイト全体の77%になっている)と、すでにKoobfaceに感染したユーザーを装ってCAPTCHA認証プロセスを終えた、何百何千もの自動的に登録されたBlogspotアカウントを利用している。以前は、同グループは商用CAPTCHA認証サービスに依存していた。
現在、この活動でFacebookに投稿されているメッセージの例は次のようなものだ。
Coongratulations! You are on TV!
Funny vide0 with me :)
HHolly sshit! Are you rreally in thiss viideo?
Hollyy shhit! You are on hiidden cameera!
Nicee! YYour boooty lookks greaat on thiss videoo!
Saw thhat vvideo yesterdday… How coulld you do succh a thingg?
Sweet!! Yourr ass loooks greaat on thiss video!!
WWow! Is tthat reeally you in thaat videeo?
You must see this vide0 now! :)
You werre caughtt on our hiddeen camera!!
Koobfaceに感染したFacebookユーザーが投稿したURLのページを閲覧すると、(感染したIPアドレス)/go.js? 0×3E8/youtube/console=yes/にリダイレクトされる。このページは、Koobfaceのsetup.exeを送り込むだけでなく、検知を逃れるために24時間おきに自動的にドメインが入れ替わる、スケアウェアのポップアップも表示する。この2重の収益化手法は、Koobfaceのグループが9月末から始めたもので、同グループは「Crusade Affiliates」と呼ばれるスケアウェアのアフィリエイトネットワークに加わることで収益を得ている。
(関連記事も参照して欲しい:Gallery: Social engineering tactics of the Koobface botnet、KoobfaceワームがTwitter空間に進出、Koobface Facebook worm still spreading、56th variant of the Koobface worm detected)
「視覚的ソーシャルエンジニアリング」戦術は、サイバー犯罪エコシステムの中ではかなり前から収益化の手法として利用されており、有名なアプリケーションや物品を購入できるサイトの外見を真似る方法を使っている。最新のKoobfaceの配布活動では、YouTubeのスクリーンショットを作成する際にライセンスを得ていないHyperSnap 6が利用されているため、すべての偽のYouTubeページの画像には、ライセンスを購入するよう求めるメッセージが埋め込まれている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ
