今から数カ月前、遅くとも 2 月 7 日より前に、Sality の作成者は感染したボットによる P2P ネットワークに新しいマルウェアを投入しました。問題のマルウェアは、標準の COM インターフェースを使って Internet Explorer をフックし、Web フォーム経由で送信されるログイン情報を収集します。2 月に現れた亜種では、Facebook、Blogger、Myspace のログイン情報の扱い方が異なっていました。ユーザー名とパスワードを盗み出してコマンド& コントロール(C&C)サーバーに送信するだけでなく、侵入を受けたユーザーのコンピュータ上の暗号化ファイルにもこの情報がダンプされたのです。その時点で、これらのログイン情報は新しいマルウェアによって利用されるのではないか、という推測が有力でした。Sality のプログラマは実に独創的です。
この推測が先週になって裏付けられました。最新の Sality パッケージには、通常のスパム/Web リレーに加えて、新しいマルウェアが含まれていました。新しいマルウェアは、Facebook か Blogger(ひとまず Myspace のことはおきます)のログイン情報が含まれる暗号化ファイルを検索します。そのようなファイルが見つかり、ログイン情報が含まれていると、マルウェアは C&C サーバー(74.50.119.59、ホストの所在地はフロリダ州)に接続し、処理スクリプトを要求します。処理スクリプトは C 言語のプログラムに似ており、マルウェア自身によって解釈されます。主な目的は、Internet Explorer の処理を自動化することです。4 月 11 日の月曜日時点で、ローカルコンピュータ上で Facebook のログイン情報が見つかった場合に送信されるスクリプトは、次のようなものでした。
関数の機能は、その名前のとおりです。スクリプトは、次の処理を実行します。
VIP Slots によって要求されるアクセスは「基本データ」まで、つまり名前と性別、プロフィール写真、ネットワーク、友達リストです。アプリケーション自体に悪質な動作は見られませんが、悪質なプログラムとのやり取りがあるという事実は非常に厄介です。最終的な目的は、現時点で判明していません。ユーザーを登録することは、攻撃的なスパム活動としても(アプリケーションの投稿が友達のニュースフィードにも表示されます)、あるいはさらに多くのユーザーにアプリケーションを使わせる手口としても有効であり、いずれも金銭の詐取(仮想通貨の購入による)に利用できます。アプリケーションは、無害な形で関与しているだけかもしれません。
さらに別のスクリプトも配布されています。こちらは汎用的なスクリプトで、次の処理を実行します。
このスクリプトは、実験的な目的に使われている可能性があります。自分たちの作品の拡散状況を測ろうとする、きわめて巧妙な手口かもしれません。Google トレンドでは、この検索キーワードが急増しているからです。
現時点では、スクリプトの配布は停止しているように見えますが、C&C サーバーは今もなお稼働中であることから、今後また新しいスクリプトが配布される恐れもあります。
シマンテックの最新の定義では、このマルウェアを Trojan.Gen として検出します。Facebook をお使いの場合は、[プライバシー設定]で[アプリとウェブサイト]ページを確認し、現在利用しているアプリケーションを調べることができます。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。