Video Screencast Help
Protect Your POS Environment Against Retail Data Breaches. Learn More.
Security Response

真実を知る「赤い薬」に誘われてしまったインドのオンラインユーザー

Created: 12 Apr 2013 07:18:45 GMT • Translations available: English
Roberto Sponchioni's picture
0 0 Votes
Login to vote

シマンテックは最近、ランダムなユーザーを標的にする小規模なスパム活動を確認しました。主に狙われているのは、インドのユーザーです。

Figure1_map.png

図 1. スパム活動に伴って感染したコンピュータの分布図

電子メールに悪質なファイルが添付されており(Spyware.Redpill として検出されます)、攻撃者はその添付ファイルを利用して個人情報を盗み出します。

Spyware.Redpill は決して新しいマルウェアではありません。シマンテックでは、Spyware.Redpill からユーザーを保護するためのシグネチャを 2008 年に作成しています。Redpill が情報を引き出そうとする相手は、配偶者が浮気しているかどうかを知りたいと思っているユーザーです。「Red Pill(赤い薬)」という名前は、映画『マトリックス』シリーズにちなんだもので、赤い薬を飲むか青い薬を飲むかというのは、何も知らずに至福の幻想世界に生きるか(青)、それとも痛みを覚悟して真の現実と向き合うか(赤)という二者択一を意味しています。

添付ファイルを開くとエラーメッセージが表示されますが、これはファイルの悪質な意図を隠蔽し、ファイルが破損していると思い込ませるための手口です。

Figure2_progress_bar.png

図 2. ファイルを開いたときに表示されるエラーメッセージ

この例でも、ユーザーは何も起きていないと思いがちですが、実際にはすでにマルウェアが起動して、情報を盗み始めています。

マルウェアは、バックグラウンドで侵入先のコンピュータに自身をインストールします。そのときに作成されるのが、以下のファイルです。

  • %ProgramFiles%\[ランダムな文字のフォルダ名]\ad.dll
  • %ProgramFiles%\[ランダムな文字のフォルダ名]\[ランダムな文字のファイル名].exe

さらに、Windows の起動時に実行されるように、以下のレジストリエントリも作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"[ランダムな文字のレジストリエントリ]" = "%ProgramFiles%\[ランダムな文字のフォルダ名]\[ランダムな文字のファイル名].exe"

続いて、Redpill はキーストロークの記録とスクリーンショットの取得を開始します。

盗み出された情報は、プログラムにハードコード化されている電子メールアカウントに送信されます。シマンテックの調査により、盗み出されたデータの受信に使われている電子メールアカウントの詳細が明らかになりました。たとえば 2013 年 3 月には 12,000 通を超える電子メールを受信しています。こうした事実からも、この攻撃の背後にいるグループが、浮気をしている数百人もの配偶者の情報を探しているわけではなく、重要な個人情報や銀行口座情報などを狙っていることは明白です。

盗み出される情報の種類

  • 各種のソーシャルネットワークアカウントのログイン情報
  • 銀行口座の詳細情報
  • 侵入先のコンピュータで作成された電子メール
  • 文書のスクリーンショット

興味深いことに、悪質な電子メールアカウントにはバックアップ用の電子メールアドレスも用意されています。その電子メールアカウントを追跡すると、アンダーグラウンドフォーラムのメンバーにたどり着きますが、このメンバーは電子メールアカウントを購入しようとしていました。おそらく、別のアカウントをハードコード化した新しい亜種を作成し、拡散しようとしていたのでしょう。

Figure3_message.png

図 3. 電子メールアカウントを購入しようとしていた攻撃者

この種の攻撃を防ぐために、不明な添付ファイルは開かないようにし、基本的なセキュリティ対策(ベストプラクティス)に従うことをお勧めします。また、ソフトウェアの最新パッチをインストールすると共に、最新のシマンテック製品とウイルス定義をお使いいただくことで、これらの脅威から保護することができます。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。