ソーシャルメディアをターゲット化する、サイバー犯罪

• 脅威情報
• 2011.3.25

ソーシャルメディアは、インターネット上でコミュニケーションをとる手段として、既に一般的なものとなっています。ソーシャルメディアには様々な種類のものが存在しており、その人気も地域によって異なっているのが実情です。その一方で、サイバー犯罪者にとっても徐々に一般的なターゲットとなっており、これらの人気に便乗する様々な攻撃が現在行われています。今回は、その中でもドイツで人気のあるソーシャルメディア「StudiVZ」をターゲットとした攻撃を紹介します。

攻撃はStudiVZ用ツールバーのインストーラを装って、バックドア「Backdoor-CEP」の亜種を仕掛けるトロイの木馬です。このバックドアは、様々な悪事を働くと共に、ユーザーの使用しているPC画面のスクリーンショットを取得・保存し、キー入力を記録します。一見したところ、この改造版インストーラは無害に思えます。何故なら、ある種のセキュリティ製品の存在を検出するか、サンドボックス内やデバッガ上で動かされていて監視対象になっている可能性があると判断すると、全く悪さをしないからです。

このような隠蔽工作の裏では、不正な行為が大量に実行されています。このインストーラが動き出すと、その時点で内蔵している攻撃用コードを実行中のプロセスに挿入したり、停止中の無害なプロセスを実行させたりします。そして、自らのコードとプロセスのマッピング解除を行い、別の攻撃用コードをプロセスにマッピングし直して、同プロセスを再開します。この攻撃用コードは暗号化されており、挿入時に復号するだけでハードディスクには書き込まないため、検出が非常にされにくいという特徴があります。

怪しいプロセスを作る同バックドアの逆アセンブル結果

このツールバー用インストーラは、動作を終了するとWebブラウザ「Internet Explorer（IE）」のインスタンスを自動実行し、上記ソーシャルメディアのログインサイト「http://studivz.net」にアクセスさせます。IEにツールバーがインストールされ、上部に新たなボタンとロゴが追加されますこのような状態では、ユーザーはほぼ確実にこのソーシャルメディアにログインするでしょう。

この時点で、バックドアはメモリー上にある実行中のプロセスに既に大量感染しており、キー入力を漏れなく取得・保存するためのコールバック関数も設定済の状態となっています。

バックドアのキー入力取得・保存コードの一部

今回のBackdoor-CEPの亜種を作った人物は、StudiVZユーザーのログイン情報に高い関心を持っていると思われます。さらにこのトロイの木馬は、ドイツでホスティングされているサーバーと定期的に通信しようとします。ただマカフィー製品を使用することで、これらの悪質なインストーラをブロックすることができます。