今回は、VoIPサービスの「Skype」を利用してマルウエア感染を広げる手口についてのブログから紹介しよう。メッセージを大量送信し、感染を広げるとして、ロシアのカスペルスキーラボが注意を呼びかけた。
メッセージにはソーシャルエンジニアリングの手法が用いられ、「この写真を見たらもう眠れなくなる」「私が編集したこの写真、どう思う?」「君の写真を見せてもらったんだけど」などという文章とともに、画像リンクが掲載されている。
リンクは、米グーグルの短縮URLサービス「Goo.gl」を適用したURLになっており、4月4日午後2時の時点で17万回以上クリックされている。過去1時間で1万クリック上昇し、1秒当たり2.7クリックのスピードで広がっている。最も被害が大きいのはロシアとウクライナだ。
不正URLクリック数の国別分布図
そのほか、中国、イタリア、ブルガリア、台湾で感染が大きい。この攻撃は、少なくとも短縮URLが作成された3月1日から行われていると見られる。しかし、4月4日朝から急激に勢いを増した。
不正URLのクリック分析
ウイルススキャンサイト「VirusTotal」によると、リンク先のマルウエアを検出できたウイルス対策製品は、46製品中12だった。カスペルスキーラボはこのマルウエアを「UDS:DangerousObject.Multi.Generic」として検出している。
マルウエアはVisual Basicで記述さ、サブルーチンは「Lenka」「Pier」「Christiane」「Ryann」といった人の名前でコールされる。
マルウエアは、USBを介して感染する機能も備えている。いったん感染すると、ボットネットの一部として、IRCプロトコルを使ってマルウエア制御(C&C)サーバーとやりとりする。興味深いことに、仮想通貨「BitCoin」の「wallet.dat」ファイルを確認する。
BitCoinのwallet.datを探す文字列
