今回は、最近目立っている攻撃手法についてのブログを紹介する。米マカフィーは、「Twitter」に投稿されるURL付きツイートの信頼度について調査分析したデータの一部をブログで紹介した。同社はソーシャルメディアに信頼度の格付けに取り組んでおり、それには、サイバー犯罪者が自身のサイトにユーザーを呼び込むためにどのようにTwitterを使っているか、を知ることが第一歩だとしている。
Twitterには、毎日約250万件のURL付きツイートが投稿され、そのうち5000ツイート以上がマルウエアを配信するWebサイトへのリンクを含むことをマカフィーは確認している。
また不正サイトのURLを含むツイートの投稿頻度は、一般的なツイートの傾向と一致していることが分かった。
不正なツイートと疑わしいツイート投稿の推移
安全なツイートと不明ツイート投稿の推移
大半のツイートは短縮されたURLを掲載している。URL短縮ツールにはTwitter公式の「t.co」のほか、「bit.ly」やマカフィーの「mcafe.ee」などが使われている。平均的なユーザーはツイートに不正なリンクが含まれているとは考えていない。そのうえ、短縮されたURLはリンク先が分かりにくいため、不用意にクリックする可能性が高い。
このような不正リンクがどのドメインのものか、マカフィーが24時間以内の全ツイートを対象に調べたところ、「vagex.com」を筆頭に以下のワースト10が確認された。
不正URLのドメイン ワースト10
「BlackHole」攻撃ツール、Java脆弱性を突く手口を追加
次にJavaの脆弱性を突く手口について触れたブログを取り上げる。
スロバキアのイーセットは、「LinkedIn」や「Facebook」の通知あるいは無償のWindowsライセンスなどに見せかけたリンクをクリックさせようとするスパムメッセージが大量送信されているとしてブログで注意を呼びかけた。
メッセージのリンク先では攻撃ツール「BlackHole Exploit Kit」がホストされ、パッチ未適用のセキュリティホールを突いてマルウエアをインストールしようとする。BlackHoleが新たに狙うJavaの脆弱性(CVE-2011-3544)は、多くのシステムでまたパッチが適用されていないため、BlackHoleでの感染の成功率は80%以上に達するという。
CVE-2011-3544を狙うコード
BlackHoleが使用するJavaアプレットを逆コンパイルしたコード
このスパム攻撃がコンピュータにインストールするファイルの一つは「SpyEye」マルウエアで、イーセットはトロイの木馬「Win32/Spy.SpyEye」として検出している。このマルウエアはオーストリアの大手銀行BAWAG PSKの顧客から銀行情報を盗み出すために構築され、コンピュータに感染すると、ユーザーがBAWAGのオンラインバンキングサイトにアクセスした際にWebページのコンテンツを改ざんする。改ざんされたWebページは、銀行の連絡先情報と警告が削除されている。
BAWAGの正規のWebページ(左)と改ざん後(右)のWebページ
ユーザーがログインすると、個人情報はマルウエア制御(C&C)サーバーに送られる。今回確認されたC&Cサーバーは、アゼルバイジャンで運用されていた。
オンラインバンキングのページには難読化されたJavaScriptが挿入されており、ユーザーの口座から犯罪者の口座に送金するほか、ユーザーの口座残高や送金履歴を改ざんして犯行を隠ぺいする。
口座残高を改ざんする不正なスニペット
送金完了の際にステータス情報を送信するコード
このJavaの脆弱性を狙った攻撃の急増については、ロシアのカスペルスキーラボも確認し、ブログで報告している。同社によると、このセキュリティホールは10月18日に公表されたものだが、不正ユーザーは最近これを利用し始めたという。
CVE-2011-3544を突く攻撃件数の推移
カスペルスキーラボが最新のBlackHoleを調査したところ、ドライブバイダウンロード型攻撃を仕掛けるWebサイトには古い脆弱性(CVE-2010-0188)を突くPDFファイルと、新たなJavaの脆弱性を突く手口が用意されている。
不正サイトのファイルリスト
新しい手口はロシア、米国、英国、ドイツのユーザーを攻撃し、銀行関連データを収集するトロイの木馬「Carberp」やSMSブロッカーをインストールしようとする。SMSブロッカーは主にロシア向けに、Carberpは先進国向けに使われる。
CVE-2011-3544を突く攻撃の分布図
Javaの脆弱性を修正するパッチは米オラクルからリリースされている。カスペルスキーラボは、必ずパッチを当てるようユーザーに忠告している。