最近のセキュリティブログの中から、気になる話題を紹介する。このところ目立っていたものの一つに、ウサマ・ビンラディン関連の話題がある。いくつかのセキュリティベンダーがブログに掲載。ベンダーによっては何度も関連するブログを掲載している。
そのうちの一つが、米ウェブセンスのブログである。同社は、国際テロ組織アルカイダの指導者ウサマ・ビンラディン容疑者殺害のニュースと、ミニブログサービス「Twitter」の情報源としての評判を利用した攻撃手口について、ブログで紹介した。サイバー犯罪者はマルウエアを拡散しようとあらゆる機会に飛び付き、あらゆるニュースに便乗するが、これもその一つだ。
ビンラディン殺害のニュースが報じられる6時間前に、パキスタンのアボッタバードでヘリコプターの音や爆発音を聞いたSohaib Athar氏は、「@ReallyVirtual」というアカウント名からTwitterで情報を発信。ビンラディン襲撃の模様を実況した。
TwitterでのSohaib Athar氏のプロフィール
Athar氏は自身のブログへのリンクを掲載していたため、Athar氏のツイートを閲覧した多くのTwitterユーザーがAthar氏のブログを訪れた。しかし不運なことに、同氏のブログは乗っ取られ、攻撃ツール「Blackhole Exploit Kit」によってマルウエア配信に利用されていた。
Athar氏のブログサイト
Athar氏のブログサイトに埋め込まれたコードによりユーザーには不正なコンテンツが表示され、Blackhole Exploit Kitは複数の脆弱性を突いてユーザーのパソコンにマルウエアをインストールしようと試みる。
マルウエアは「WindowsRecovery」というシステムツールを装い、パソコン内に不具合を検出したとユーザーに通知する。ユーザーに信じ込ませるために、デスクトップ上のファイルやフォルダを隠し、ユーザーから見えないようにする。
WindowsRecoveryの画面
そして、このトラブルをすぐに解消できる手段として有償版WindowsRecoveryを購入することをユーザーに促す。
有償版WindowsRecoveryの購入手続き画面
クロスプラットフォーム対応のJavaボットネットを検出
次はちょっと変わったボットネットについて。現在のマルウエアは、世界中で多数の人々が利用しているWindowsやWindowsアプリケーションを狙ったものがほとんどだ。しかしほかのプラットフォームを標的にしたマルウエアも日に日に増えている。さらに、Javaを使ってWindowsとMac上で動作するクロスプラットフォーム対応マルウエアも登場した。米マカフィーはその一例として、ユーザー環境で検出されたJavaベースのトロイの木馬「IncognitoRAT」をブログで紹介した。
IncognitoRATは別のコンポーネントによってダウンロードされ、インストールされる。ほかのWindowsボットネットと同じように振る舞うが、Windows以外のプラットフォームでも動作可能なソースコードとライブラリを使用する。
最初の感染手段にはWindows実行ファイルが使われ、それは明らかに「JarToExe」ツールで作成されている。JarToExeのさまざまな機能の中には、「.jar」ファイルを「.exe」ファイルに変換できる機能がある。
IncognitoRATが狙うのは、Java Runtime Environmentがインストールされ、オンラインにつながっているマシンだ。実行ファイルが起動すると、JavaベースのライブラリをまとめたZIPファイルのダウンロードを開始する。さらにダウンローダーは.jarコンポーネントを作成する。これらライブラリと.jarコンポーネントは、マシンを起動するたびにマルウエアを実行したり、マシンのキーストロークやマウスの動きを遠隔監視したりするほか、盗み出した情報の外部への電子メール送信、ウェブカム映像のリモート監視などに使われる。
IncognitoRATは、Windows、Mac OS X、iPhoneおよびiPadなどを対象にするが、マカフィーがユーザー環境で確認したのはWindows版のみだという。
