マルウェア対策の世界には、「メディア+セレブ=マルウェアに用心」という単純公式があります。熱心なファンの方も、ニュースサーフィンする方も、ご注意ください。選んだ検索エンジンと入力したキーワードの組み合わせによっては、マルウェアに誘導される可能性があります。今回はそのようなケースを取り上げたいと思います。
以下のケースでは、アクセスすると、でホストされている悪意のあるWebサイトに誘導されました。
本物のように見えますが、このウェブサイトはCNNとは全く無関係です。以前、類似の試みで何度も使用された「you need a video player(動画プレイヤーが必要です)」というテクニックを使ったマルウェアの一種と言えます。この方法で、ユーザーが魅力的な動画におびき寄せられることは珍しくありませんが、新しい動画プレイヤープログラムのインストールが必要です。
騙されたユーザーは、実行プログラムをダウンロードしてインストールできるリンクをクリックします。このプログラムは、続いてマルウェアをインストールします。大抵は、その後、ダウンロードされた動画プレイヤープログラムが破損していることを知らせる、ポップアップメッセージが表示されます。
現在のケースには、ちょっとした仕掛けが施されています。「動画プレイヤー」をダウンロードするオプションが提示されるのは、Adobe Flashがインストール済みの場合に限られます。この1つ目のステップで、ユーザーは、そのサイトの本物のニュースコンテンツを閲覧しているかのように、初めの数枚の写真を閲覧できます。続いて、動画プレイヤーをインストールして「ライブ動画」を閲覧するよう誘われます。ところが、このプレイヤーにはマルウェアが仕込まれています。マルウェアがダウンロードされると、動画が実際にストリーミングされ、グーグルから外部リンクにジャンプします。もちろん、このリンクはダウンロードされた動画プレイヤーとは全く関係ありません。騙されやすいユーザーは、ダウンロードされたプログラムを実行することで動画を閲覧できるようになったのだと信じます。
この悪意のあるWebサイトは、WebブラウザクライアントがWebサーバーに送信したユーザーエージェントのバナー情報をチェックし、標的のオペレーティングシステムを認識します。McAfee Labsの試験では、WindowsベースのWebブラウザには.exeファイル、Mac OSベースのWebブラウザには.dmgファイルが送られました。
このサイトからダウンロードされたマルウェアは現在、FakeAlert-DAおよびFakeAlert-ELという名前で検出されます。Mac OSユーザーの場合は、MediaPlayer.dmgというマルウェアが、トロイの木馬OSX/Puper.aという名前で検出されます。別の関連するケースでは、マカフィーでは、このマルウェアをGeneric FakeAlert.aおよびGeneric FakeAlert.cという名前で検出しています。
最新ニュースやメディアサイトにリンクされているプログラムはインストールしないよう、くれぐれもご注意ください。
関連記事
- [2010/06/28] 隠れてマルウェアを仕掛けるドライブバイダウンロード
- [2010/06/25] 見た目と異なるマルウェア
※本ページの内容はMcAfee Blogの抄訳です。
原文:Malware From Celebrity Video: But I Thought I Just Installed a Video Player!
