今回は、新しいマルウエアや脆弱性に関するブログを紹介する。米シマンテックはバックドア型マルウエア「Backdoor.Makadocs」について説明し、注意を呼びかけた。
同社は当初、Backdoor.Makadocsを単純なバックドア型トロイの木馬だと考えていた。マルウエア制御(C&C)サーバーからコマンドを受け取って実行し、感染したコンピュータからOSのタイプなど様々な情報を収集する。興味深いことに、このマルウエアの作成者は、対象のコンピュータが「Windows 8」あるいは「Windows Server 2012」を稼働させている可能性を考慮している。
被害マシンのOSをチェックするマルウエア
新しい製品がリリースされると新しいマルウエアが登場するのは不思議なことではないが、同マルウエアは特にWindows 8向けの機能を備えているわけではないうえに、Windows 8リリース前から存在していることをシマンテックは確認している。これらの事実から、このコードはアップデートで追加されたものだと考えられる。
Backdoor.Makadocsの特徴的な機能として、最新バージョンではC&Cサーバーに直接つながるのではなく、米グーグルの「Google Docs」サービスをプロキシーサーバーとして利用する。
Backdoor.Makadocsのサーバーへの接続経路
Google Docsにはビューアと呼ぶ機能があり、別のURLのリソースを取得し、それらを表示する。この機能により様々なタイプのファイルをブラウザー上で閲覧できるようになっている。Backdoor.Makadocsはグーグルの利用規約に違反し、この機能を使ってC&Cサーバーにアクセスする。マルウエアの作成者は、C&Cサーバーに直接つながって検出されるのを避けるために、この手法を実装していると見られる。Google Docsへの接続はHTTPSにより暗号化されているので、ローカルで遮断することは難しい
またシマンテックはBackdoor.Makadocsがリッチテキスト形式(RTF)あるいはWord文書で届くことを確認している。
現在のところ、この文書は自身のコンポーネントを投下するのにいずれの脆弱性も悪用せず、代わりにソーシャルエンジニアリングの手口を用いる。文書のタイトルや内容でユーザーの興味をそそり、クリックして実行させようとする。以下のコードから、このマルウエアが主にブラジルのユーザーをターゲットにしていることが分かる。
Backdoor.Makadocsのコード
