当初は、Backdoor.Makadocs も従来と変わらない単純なバックドア型のトロイの木馬だろうと考えていました。Backdoor.Makadocs はコマンド & コントロール(C&C)サーバーからコマンドを受け取って実行し、ホスト名やオペレーティングシステムのタイプといった情報を侵入先のコンピュータから収集します。しかし、このマルウェアの作成者は侵入先のコンピュータで Windows 8 または Windows Server 2012 が稼働している可能性も考慮している、という点に注目する必要があります。
図 1. オペレーティングシステムのチェック
Windows 8 は今年の 10 月にリリースされたばかりですが、セキュリティ研究者から見ればこのタイミングも驚くほどのことではありません。新製品のリリース後には必ず新しいマルウェアが出現するものだからです。といっても、このマルウェアは特に Windows 8 固有の機能を利用しているわけではなく、そもそも Windows 8 のリリースより前から存在していたことがわかっています。その事実を踏まえると、このコードは既存マルウェアのアップデート版と考えていいでしょう。
次に、Backdoor.Makadocs のきわめて特徴的な機能を紹介します。それは、最新バージョンの Makadocs が、C&C サーバーに直接は接続せず、Google Docs をプロキシサーバーとして利用しているということです。
図 2. Backdoor.Makadocs の接続経路
Google Docs には、他の URL のリソースを取得して表示するビューアという機能があります。さまざまな形式のファイルをブラウザ上で表示できるのも、基本的にはこの機能があるからです。Backdoor.Makadocs はこの機能を使って C&C サーバーにアクセスしており、もちろんこれは Google のポリシーに違反しています。Makadocs の作成者は、直接 C&C サーバーに接続して検出されてしまうことを回避する目的でこの機能を実装したようです。Google Docs サーバーへの接続は HTTPS で暗号化されるので、ローカルで遮断することは困難になります。Google がファイアウォールを使ってこの接続を防止する可能性はあります。
Backdoor.Makadocs は、リッチテキスト形式(RTF)または Microsoft Word 文書形式(DOC)で受信されることが確認されています。
図 3. 悪質な Microsoft ワード文書
今のところ、この文書はコンポーネントを投下するために脆弱性を悪用していません。かわりにソーシャルエンジニアリングの手口を使い、文書のタイトルと内容でユーザーの関心を引きつけ、クリックして実行させようと誘導しています。以下に示すコードの抜粋を見ると、このマルウェアは主にブラジル在住のユーザーを標的にしていると考えることができます。
図 4. ブラジルのユーザーが標的
シマンテック製品は、この RTF ファイルと DOC ファイルを Trojan.Dropper として検出します。安全性を確保するために、コンピュータには最新のパッチを適用し、ウイルス対策定義も最新の状態に保つようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。