Video Screencast Help
Protect Your POS Environment Against Retail Data Breaches. Learn More.
Security Response

W32.Phopifas、釣りリンクで 250 万回以上のクリックを誘導

Created: 11 Oct 2012 08:23:14 GMT • Translations available: English
Kevin Savage's picture
0 0 Votes
Login to vote

Skype などのインスタントメッセージアプリケーションに対するソーシャルエンジニアリング攻撃が依然として続いていますが、この 1 週間は特に勢いづいています。この攻撃は 9 月 29 日頃に始まったと見られ、現在までに無防備なユーザーを欺いて 250 万回以上クリックさせることに成功しています。攻撃に使われている手口は、インスタントメッセージアプリケーションへのリンクを投稿して潜在的な被害者を誘導するという、典型的なソーシャルエンジニアリングの手法です。この攻撃の手順は、おおよそ以下のシナリオのとおりです。
 

図 1. ソーシャルエンジニアリング攻撃のシナリオ
 

ユーザーが goo.gl リンクをクリックすると、Hotfile.com 上の URL にリダイレクトされます。Hotfile.com サイトでは .zip ファイルをダウンロードするように指示され、この .zip ファイルに、正規のインスタントメッセージファイルを装ったマルウェア W32.IRCBot.NG が含まれます。手動でこのファイルを解凍して実行すると、IRC チャネルに接続してコマンドを受信します。シマンテックが解析したところ、これはさらに別のファイルを Hotfile.com からダウンロードして実行するよう命令するコマンドです。検証したどのテストでも、2 番目にダウンロードされるファイルは W32.Phopifas でしたが、被害者の地理的な IP ロケーションによっては、別のマルウェアがダウンロードされる可能性もあります。W32.Phopifas の解析から、この脅威は、W32.IRCBot.NG を誘導していた最初のインスタントメッセージアプリケーションへの投稿を 30 種類以上の言語で実行していたことが判明しています。

この攻撃者は、Google による URL 短縮サービスの goo.gl を選んで攻撃に使っているため、シマンテックはクリックの成功率を追跡することができました。現在までに、W32.Phopifas は 8 種類の goo.gl URL を使っていることがわかっており、そのそれぞれについてシマンテックはクリック率を確認しています。それぞれのリンクの成功数と、関連するマルウェア .zip ファイルの概要は、以下のグラフのとおりです。マルウェアの .zip ファイル名には、W32.Phopifas の攻撃で使われた日付も含まれています。
 

図 2. 悪質な URL のクリック率
 

これらの数値からは、実際にマルウェアをダウンロードし、解凍してインストールした被害者の数を推測することはできませんが、インスタントメッセージアプリケーションでこのような単純なソーシャルエンジニアリング手法がいかに効果を上げているかは如実にわかります。

シマンテック製品は W32.IRCBot.NG と W32.Phopifas を検出できるだけでなく、侵入防止シグネチャ Attack: W32.Ircbot.NG による保護も提供します。もちろん、いつものように、この手の脅威に対する最適な保護を得るためにシマンテックの最新技術をお使いいただくことをお勧めします。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。