Facebook経由で拡散した仮想通貨を狙う「FacexWorm」

ZDNet Japan Staff 2018年05月07日 16時12分

  • このエントリーをはてなブックマークに追加

 トレンドマイクロの「Cyber Safety Solutions チーム」は5月7日、Facebook Messenger経由で拡散した仮想通貨を狙う悪質なChrome拡張機能「FacexWorm」に関するレポートを公開した。攻撃者が仮想通貨の利益を得ようと、さまざまな不正行為におよぶことが分かった。

 レポートによると、FacexWormは2017年8月に確認され、2018年4月上旬には欧州や日本、韓国、台湾などで急増した。FacexWormに感染したユーザーはわずかで、既に多くが削除されているという。

 攻撃者は、ユーザーを巧妙にだます心理的な手口を使い、Facebook Messengerにウェブページへのリンクを送りつけることで、FacexWormを拡散させた。リンク先は偽のYouTubeページで、ユーザーがこのページにアクセスすると、「動画再生コーデック」と称したChrome拡張機能(実態はFacexWorm)のインストールが促される。さらに、ユーザーが閲覧したウェブのユーザーデータの読み取りや変更を可能にする権限が要求される。

 ユーザーがこれらを許可すると、FacexWormは攻撃者のサーバに接続して不正な機能を追加し、正規のFacebookページを開く。この際、拡散に必要な機能が有効化されているかをチェックする。有効化されている場合は、OAuthのアクセストークンをFacebookに要求し、このトークンを使ってユーザーの友達の情報を取得する。オンライン中もしくは直近までオンラインだった友達に対して、上述した偽のYouTubeページへのリンクを送りつける。なお、デスクトップ版のChormeブラウザ以外でこのリンク先にアクセスすると、無作為な広告ページに誘導されるという。

 FacexWormは、下記にあるような幾つもの不正行為におよぶという。

  • アカウント認証情報の窃取
  • 詐欺ページへの誘導
  • 仮想通貨の不正な発掘
  • 仮想通貨の取引処理の乗っ取り
  • 仮想通貨に関連する紹介プログラムへの誘導

 アカウント認証情報の窃取では、ユーザーがGoogleや仮想通貨のウォレットサービス「MyMonero」、仮想通貨の発掘ツール「Coinhive」のウェブページを開くと、FacexWormがこれを検知して認証情報を攻撃者のサーバに送信する詐欺ページへの誘導では、ユーザーが検索などで「blockchain」や「eth**」(**は任意)、「ethereum」を含む文字列を入力したり、攻撃者がリストアップした52種類の仮想通貨の取引サイトにアクセスしたりすると、「仮想通貨を受け取れる」と称した詐欺ページに誘導される。ここでは「認証」と偽って、攻撃者のウォレットのアドレスに仮想通貨の送金が求められる。

 仮想通貨の不正な発掘は、同様の攻撃が横行しているが、FacexWormも難読化されたCoinhiveの不正なJavaScriptを使い、ユーザーのコンピュータのリソースで仮想通貨を発掘する。トレンドマイクロが確認したところ、20%のリソースを使用するスレッドを4つ実行する設定になっていた。

 取引処理の乗っ取りでは、ユーザーがビットコインなどの仮想通貨関連サイトで取引処理ページを開いた際に、FacexWormがユーザーの入力した送金先アドレスを特定して、攻撃者が指定するアドレスに置き換える。紹介プログラムへの誘導では、ユーザーが特定サイトにアクセスした際、FacexWormがこのサイト内の攻撃者が指定した紹介プログラムのリンクに誘導し、ユーザーがリンク先でアカウントを登録すると、攻撃者に紹介料が入る仕組みになっている。また、FacexWormは削除されないために、ユーザーがChrome拡張機能の管理ページを開こうとすると管理ページのタブを閉じてしまうという。


「FacexWorm」の不正行為内容(出典:トレンドマイクロ)

 トレンドマイクロのレポートによれば、被害実態は不明ながら、確認されている範囲では深刻な被害は少ないという。しかし、攻撃者は何度もChromeウェブストアにFacexWormをアップロードしようと試み、Facebook Messengerを感染の踏み台に悪用している。同社はFacebookと連携して、有害サイトへのリンクを含む不正なメッセージの自動検出を行っているが、ユーザーにはSNSで共有する前に情報を慎重に確認し、安易にリンクなどをクリックしないようアドバイスしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]