トレンドマイクロの「Cyber Safety Solutions チーム」は5月7日、Facebook Messenger経由で拡散した仮想通貨を狙う悪質なChrome拡張機能「FacexWorm」に関するレポートを公開した。攻撃者が仮想通貨の利益を得ようと、さまざまな不正行為におよぶことが分かった。
レポートによると、FacexWormは2017年8月に確認され、2018年4月上旬には欧州や日本、韓国、台湾などで急増した。FacexWormに感染したユーザーはわずかで、既に多くが削除されているという。
攻撃者は、ユーザーを巧妙にだます心理的な手口を使い、Facebook Messengerにウェブページへのリンクを送りつけることで、FacexWormを拡散させた。リンク先は偽のYouTubeページで、ユーザーがこのページにアクセスすると、「動画再生コーデック」と称したChrome拡張機能(実態はFacexWorm)のインストールが促される。さらに、ユーザーが閲覧したウェブのユーザーデータの読み取りや変更を可能にする権限が要求される。
ユーザーがこれらを許可すると、FacexWormは攻撃者のサーバに接続して不正な機能を追加し、正規のFacebookページを開く。この際、拡散に必要な機能が有効化されているかをチェックする。有効化されている場合は、OAuthのアクセストークンをFacebookに要求し、このトークンを使ってユーザーの友達の情報を取得する。オンライン中もしくは直近までオンラインだった友達に対して、上述した偽のYouTubeページへのリンクを送りつける。なお、デスクトップ版のChormeブラウザ以外でこのリンク先にアクセスすると、無作為な広告ページに誘導されるという。
FacexWormは、下記にあるような幾つもの不正行為におよぶという。
- アカウント認証情報の窃取
- 詐欺ページへの誘導
- 仮想通貨の不正な発掘
- 仮想通貨の取引処理の乗っ取り
- 仮想通貨に関連する紹介プログラムへの誘導
アカウント認証情報の窃取では、ユーザーがGoogleや仮想通貨のウォレットサービス「MyMonero」、仮想通貨の発掘ツール「Coinhive」のウェブページを開くと、FacexWormがこれを検知して認証情報を攻撃者のサーバに送信する詐欺ページへの誘導では、ユーザーが検索などで「blockchain」や「eth**」(**は任意)、「ethereum」を含む文字列を入力したり、攻撃者がリストアップした52種類の仮想通貨の取引サイトにアクセスしたりすると、「仮想通貨を受け取れる」と称した詐欺ページに誘導される。ここでは「認証」と偽って、攻撃者のウォレットのアドレスに仮想通貨の送金が求められる。
仮想通貨の不正な発掘は、同様の攻撃が横行しているが、FacexWormも難読化されたCoinhiveの不正なJavaScriptを使い、ユーザーのコンピュータのリソースで仮想通貨を発掘する。トレンドマイクロが確認したところ、20%のリソースを使用するスレッドを4つ実行する設定になっていた。
取引処理の乗っ取りでは、ユーザーがビットコインなどの仮想通貨関連サイトで取引処理ページを開いた際に、FacexWormがユーザーの入力した送金先アドレスを特定して、攻撃者が指定するアドレスに置き換える。紹介プログラムへの誘導では、ユーザーが特定サイトにアクセスした際、FacexWormがこのサイト内の攻撃者が指定した紹介プログラムのリンクに誘導し、ユーザーがリンク先でアカウントを登録すると、攻撃者に紹介料が入る仕組みになっている。また、FacexWormは削除されないために、ユーザーがChrome拡張機能の管理ページを開こうとすると管理ページのタブを閉じてしまうという。
「FacexWorm」の不正行為内容(出典:トレンドマイクロ)
トレンドマイクロのレポートによれば、被害実態は不明ながら、確認されている範囲では深刻な被害は少ないという。しかし、攻撃者は何度もChromeウェブストアにFacexWormをアップロードしようと試み、Facebook Messengerを感染の踏み台に悪用している。同社はFacebookと連携して、有害サイトへのリンクを含む不正なメッセージの自動検出を行っているが、ユーザーにはSNSで共有する前に情報を慎重に確認し、安易にリンクなどをクリックしないようアドバイスしている。