Facebook をお使いであれば、3 月 19 日頃、Facebook Black というアプリについて友達からの投稿が増えたことに気づかれたかもしれません。
図 1. Facebook の写真用プラグイン「Faecbook Black」(タイプミスがあることに注意)
これまでの詐欺と同様、ユーザーがタグ付けされた写真に、外部 Web サイトへのリンクが仕掛けられています。この例では、リンクは説明欄ではなくコメント欄にあります(図 1)。
図 2. iframe によってランディングページにリダイレクトされるが、一瞬だけこのページが表示される
Facebook へのリンクをクリックすると、Facebook ページにリダイレクトされます。リダイレクト先のページには iframe が設定されており(図 2)、何度かのリダイレクトを経て最終的に行き着くページでは Facebook Black のインストールを促されます。
これまでにシマンテックで確認され、Facebook Black のランディングページへ誘導されるサイトの例を以下に示します。
- photocurious.com
- phototart.com
図 3. Facebook Black のページ
次にユーザーは、Google Chrome 拡張機能をインストールするよう誘導されます(図 4)。
図 4. Facebook Black の偽の Chrome 拡張機能
この拡張機能を使い、Amazon の Simple Storage Service(Amazon S3)にホストされている 2 つの JavaScript ファイルがダウンロードされます(図 5)。
図 5. 拡張機能によりさらにファイルがダウンロードされる
これらの JavaScript ファイルは、被害者のアカウントを通じて詐欺を拡散し続けるために使われます。そのために、被害者のアカウントに新しい Facebook ページを作成します。このページに、ユーザーを Facebook Black のランディングページへリダイレクトするページへの iframe が含まれています(図 6 と図 7)。
図 6. ユーザーアカウントに新しいページが追加される
図 7. 新しく作成された Facebook ページに iframe によるリダイレクトが含まれている([Welcome]タブ)
最終的に、この Facebook 拡張機能をインストールしたユーザーには、一連のアンケート詐欺が表示され(図 8)、詐欺師はここから利益を得ようとしていることがわかります。
図 8. 拡張機能のインストール後に表示されるアンケート詐欺
シマンテック製品をお使いのお客様は、Web Attack: Fake Facebook Application 3 の IPS シグネチャでこの攻撃から保護されています。偽の Chrome 拡張機能は、Trojan Horse として検出されます。
Google は、Chrome 拡張機能のいくつかをすでに削除しており、悪質な拡張機能に対する自動検出をさらに改善するとしています。この詐欺に引っかかってしまったユーザーは、Chrome 拡張機能をアンインストールし、作成された Facebook ページを削除してください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。