現在、重大なFacebookマルウェア攻撃が起こっている。
この攻撃は、Facebookの「Like」機能を使用してウイルスの様に拡散している。これは不正なコストパーアクション(CPA)マーケティングアフィリエイトにより確立されたメソッドだ。しかし、偽の広告にリダイレクトするCPAスパムとは異なり、この「ウイルスビデオ」はWindowsやMacマルウェアを広めるリトアニアのサーバにリンクしている。
我々が「ウイルスリンク」を使用するマルウェアに遭遇したのは、今回が初めてだ。(Koobfaceなどはフィッシングおよび改ざんされたアカウントを使用している。)
エサとして使用されているのは以下のサブジェクトラインだ:
「oh shit, one more really freaky video O_O」と…
「IMF boss Dominique Strauss-Kahn Exclusive Rape Video - Black lady under attack!」
リンクは、「newtubes.in」のサブドメインを示している。
Openbook検索では、エクスポーズされた人々の例が多数示される。
以下は、Facebookの検索結果の一例だ:

ドイツ、フィンランド、フランス、インドおよびマレーシアから同リンクをテストした際、我々は問題なく「youtube.com」にリダイレクトされた。アメリカ合衆国と英国からのテストでは、我々のブラウザユーザエージェントIDに応じて、MacスケアウェアもしくはWindowsマルウェアが提供された。
この攻撃はOSアウェアであり、GEO-IPアウェアなのだ。
そしてこの攻撃は16時間以上前に開始されたにも関わらず、Facebookはまだ「newtubes.in」へのリンクをブロックしていない。サブジェクトテキストとルートドメインはこの期間、変更されずにいるのに、だ。これは同攻撃が、Facebookのセキュリティチームがより容易にフィルタリングできるユーザのウオールへのリンクではなく、Facebookの「Likes」を使用しているという事実に起因しているのかもしれない。
あるいはもしかすると、メモリアルデー後で休日中のメールをまだチェック中なのかも…
追記:
グリニッジ標準時で17時に、同攻撃はサブジェクトラインを以下の様に変更した:
one more stolen home porn video ;) Rihanna and Hayden Panettiereと…
Rihanna And Hayden Panettiere !!! Private Lesbian HOT Sex Tape stolen from home archive of Rihanna! Hot Lesbian Video - Rihanna And Hayden Panettiere !!
グリニッジ標準時で19時12分に、ドメインが「newtubes.in」から「shockings.in」に変更された。
上記に関する修正:同マルウェアはFacebookの親指を立てた「Likes」アイコンを使用しているが、他のメソッドにより広がっているようだ。さらに分析した結果、このマルウェア自身は、犠牲者のFacebookセッションに投稿を入れ込んでいるのかもしれない。
頑張ったのだが、我々のテストアカウントは同攻撃サーバのWebページにより改ざんされなかった。我々は現在、このWindowsマルウェアはZeuSWebのような、インジェクト能力を持つKoobface的なワームであろうと推測している。さらに分析を続ける予定だ。
この攻撃は、Facebookの「Like」機能を使用してウイルスの様に拡散している。これは不正なコストパーアクション(CPA)マーケティングアフィリエイトにより確立されたメソッドだ。しかし、偽の広告にリダイレクトするCPAスパムとは異なり、この「ウイルスビデオ」はWindowsやMacマルウェアを広めるリトアニアのサーバにリンクしている。
我々が「ウイルスリンク」を使用するマルウェアに遭遇したのは、今回が初めてだ。(Koobfaceなどはフィッシングおよび改ざんされたアカウントを使用している。)
エサとして使用されているのは以下のサブジェクトラインだ:
「oh shit, one more really freaky video O_O」と…
「IMF boss Dominique Strauss-Kahn Exclusive Rape Video - Black lady under attack!」
リンクは、「newtubes.in」のサブドメインを示している。
Openbook検索では、エクスポーズされた人々の例が多数示される。
以下は、Facebookの検索結果の一例だ:

ドイツ、フィンランド、フランス、インドおよびマレーシアから同リンクをテストした際、我々は問題なく「youtube.com」にリダイレクトされた。アメリカ合衆国と英国からのテストでは、我々のブラウザユーザエージェントIDに応じて、MacスケアウェアもしくはWindowsマルウェアが提供された。
この攻撃はOSアウェアであり、GEO-IPアウェアなのだ。
そしてこの攻撃は16時間以上前に開始されたにも関わらず、Facebookはまだ「newtubes.in」へのリンクをブロックしていない。サブジェクトテキストとルートドメインはこの期間、変更されずにいるのに、だ。これは同攻撃が、Facebookのセキュリティチームがより容易にフィルタリングできるユーザのウオールへのリンクではなく、Facebookの「Likes」を使用しているという事実に起因しているのかもしれない。
あるいはもしかすると、メモリアルデー後で休日中のメールをまだチェック中なのかも…
追記:
グリニッジ標準時で17時に、同攻撃はサブジェクトラインを以下の様に変更した:
one more stolen home porn video ;) Rihanna and Hayden Panettiereと…
Rihanna And Hayden Panettiere !!! Private Lesbian HOT Sex Tape stolen from home archive of Rihanna! Hot Lesbian Video - Rihanna And Hayden Panettiere !!
グリニッジ標準時で19時12分に、ドメインが「newtubes.in」から「shockings.in」に変更された。
上記に関する修正:同マルウェアはFacebookの親指を立てた「Likes」アイコンを使用しているが、他のメソッドにより広がっているようだ。さらに分析した結果、このマルウェア自身は、犠牲者のFacebookセッションに投稿を入れ込んでいるのかもしれない。
頑張ったのだが、我々のテストアカウントは同攻撃サーバのWebページにより改ざんされなかった。我々は現在、このWindowsマルウェアはZeuSWebのような、インジェクト能力を持つKoobface的なワームであろうと推測している。さらに分析を続ける予定だ。