Infostealer.Offsupload という新たな脅威に感染したホストから、盗難に遭った 20,000 以上のアーカイブが、サードパーティのファイル共有サイトにアップロードされました。以下の色分けマップを見ると、この感染の主な標的は米国であることがわかりますが、全世界でもこの攻撃の影響を受けずに済んでいる国はごくわずかです。
Infostealer.Offsupload は、複合型の脅威の一部として使われています。攻撃の初期段階では、FedEx を自称するメールが送信されますが、これには FedEx_Invoice.exe という悪質なファイルが添付されています。
これはトロイの木馬であり(Trojan.Gen.2 として検出されます)、実行されるとコマンド & コントロール(C&C)サーバーに接続して別の悪質なファイルを実行します。解析を行った時点で、ダウンロードされるファイルは Trojan.FakeAV と Infostealer.Offsuploadでした。
Infostealer.Offsupload は、侵入先のコンピュータで Firefox、Thunderbird、Opera のパスワードを検索します。Word と Excel のファイル(拡張子 .doc、.docx、.xls、.xlsx のファイル)も検索対象になります。感染したホストでこれらのファイルが収集されると、ZIP ファイルに圧縮してパスワード保護したうえで、sendspace.com にアップロードされます。盗難データをダウンロードして取得するための URL と、ZIP ファイルを解凍するためのパスワードも攻撃者に送信されます。コマンド & コントロールサーバーからログファイルをダウンロードすることができ、その内容が次の図です。
解析の時点で、重複しない 23,248 個の IP アドレス(感染したホスト)がログに記録されており、21,623 回のアップロード(盗み出されたアーカイブ)が試行されたことが、ログファイルから判明しました。
sendspace.com のようなサードパーティサービスを利用すると、サービスのアップタイムと盗難データのアップロード速度という点で高い信頼性を期待できるというメリットがあります。サードパーティのサービスは、送信されるデータが大量になったときのストレージ要件についても万全です。
これは新しい手口として最近 Trend Micro のセキュリティ研究者が指摘したもので、シマンテックでもここ数日から数週間の推移を注意深く見守る予定です。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。