当社では、ある悪意あるブラウザ拡張を追っている。このブラウザ拡張には、さまざまな異なるソフトウェア企業の手によるものだと表示される。
これは自身をブラウザにインストールし、Twitter、Facebook、Google+のようなソーシャルメディアサイトにユーザに成り変わって投稿する。バリアントの1つは「F-Secure Security Pack」として自身をインストールする。当社を信じて欲しいのだが、これは当社由来のものでは絶対にない。
このマルウェアのインストーラは、通常は自己解凍を行う実行形式のWinRARだ。一方サンプルはさまざまな方法で同様にパッケージされている。サンプルの1つから、コンテンツをのぞき見ることができた。
上のコンテンツから、マルウェアのインストーラに何が含まれているのかのヒントが得られる。拡張子はFirefox用とChrome用のものだ(.xpiおよび.crx)。
このマルウェアの実行形式のファイルは、「VIDEO TECH PRODUCOES LTDA」と称する企業に割り当てられた証明書を用いて署名されている。
現時点では、証明書が盗まれたものなのか、あるいは当該企業とマルウェアのサンプルの間に何らかのつながりがあるのかは不明だ。
Chrome用のインストーラは「F-Secure Security Pack」という名前でブラウザ拡張を登録する。
Firefox用でも、登録情報の詳細にわずかな違いはあるが、同様のことが行われる。
この悪意あるブラウザ拡張の名前として、マルウェアは標的の地域によって異なるブランドを用いている。たとえば中国では「Chrome Service Pack」、フランスでは「Dr. Web」、ブラジルでは「Kingsoft」となるのを目にした。
ブラウザ拡張そのものは非常にシンプルだ。アップデートをC&Cサーバから取ってきて、そのアップデート内の情報を使って、各種ソーシャルメディアサイトに投稿する。ソースコード内のコメントはポルトガル語になっており、マルウェアの発生源についていくつかのヒントが得られる。
以下はマルウェアがブラジル人ユーザ用のC&Cサーバから取得したアップデート情報の一例だ。
設定の1つにより、メッセージが自動的にリツイートされる。この設定は書き込み時には有効になっていなかったが、それでもリツイートされるメッセージを見ることはできる。以下の特有なメッセージが5000回以上リツイートされていることを、我々は確認した。
F-SecureではこのマルウェアをTrojan.FBSuperとして検知する。あるいは、バリアントに応じて、別の様々なヒューリスティックな検知名になる。
SHA-1:6287b03f038545a668ba20df773f6599c1eb45a2
これは自身をブラウザにインストールし、Twitter、Facebook、Google+のようなソーシャルメディアサイトにユーザに成り変わって投稿する。バリアントの1つは「F-Secure Security Pack」として自身をインストールする。当社を信じて欲しいのだが、これは当社由来のものでは絶対にない。
このマルウェアのインストーラは、通常は自己解凍を行う実行形式のWinRARだ。一方サンプルはさまざまな方法で同様にパッケージされている。サンプルの1つから、コンテンツをのぞき見ることができた。
上のコンテンツから、マルウェアのインストーラに何が含まれているのかのヒントが得られる。拡張子はFirefox用とChrome用のものだ(.xpiおよび.crx)。
このマルウェアの実行形式のファイルは、「VIDEO TECH PRODUCOES LTDA」と称する企業に割り当てられた証明書を用いて署名されている。
現時点では、証明書が盗まれたものなのか、あるいは当該企業とマルウェアのサンプルの間に何らかのつながりがあるのかは不明だ。
Chrome用のインストーラは「F-Secure Security Pack」という名前でブラウザ拡張を登録する。
Firefox用でも、登録情報の詳細にわずかな違いはあるが、同様のことが行われる。
この悪意あるブラウザ拡張の名前として、マルウェアは標的の地域によって異なるブランドを用いている。たとえば中国では「Chrome Service Pack」、フランスでは「Dr. Web」、ブラジルでは「Kingsoft」となるのを目にした。
ブラウザ拡張そのものは非常にシンプルだ。アップデートをC&Cサーバから取ってきて、そのアップデート内の情報を使って、各種ソーシャルメディアサイトに投稿する。ソースコード内のコメントはポルトガル語になっており、マルウェアの発生源についていくつかのヒントが得られる。
以下はマルウェアがブラジル人ユーザ用のC&Cサーバから取得したアップデート情報の一例だ。
設定の1つにより、メッセージが自動的にリツイートされる。この設定は書き込み時には有効になっていなかったが、それでもリツイートされるメッセージを見ることはできる。以下の特有なメッセージが5000回以上リツイートされていることを、我々は確認した。
F-SecureではこのマルウェアをTrojan.FBSuperとして検知する。あるいは、バリアントに応じて、別の様々なヒューリスティックな検知名になる。
SHA-1:6287b03f038545a668ba20df773f6599c1eb45a2
