Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

ボストンマラソン爆発事件に便乗、マルウェア感染させる攻撃 - スパムやツイートで拡散

複数のセキュリティベンダーが、4月15日に発生したボストンマラソン爆発事件に便乗したマルウェアの感染活動について報告している。マルウェアをダウンロードさせるURLが、スパムやツイートで拡散したという。

米Symantecでは、事件発生の数時間後から大量のスパムメールを観測。メールの件名は「Explosion at Boston Marathon(ボストンマラソンで爆発)」「Boston Explosion Caught on Video(ビデオが捉えた爆発の瞬間)」など事件関連のニュースや動画を装うもので、本文にはURLのみ記載されていた。

誘導先は、事件現場の動画を掲載したウェブページで、脆弱性を悪用するエクスプロイトキット「Red Kit」にリダイレクトされ、アクセスと同時に動画ファイルにみせかけた実行ファイルがダウンロードされる。

またページの最後には、ダウンロードしているファイルを、動画ファイルと勘違いさせるため、読み込み途中の動画が掲載されていた。同社では、ダウンロードされるマルウェアを「Packed.Generic.402」として対応している。

米Trend Microでも、同様の攻撃を確認。9000件以上のスパムメールを観測し、メールの件名は7種類に及ぶことを報告。Twitterや無料ブログサービスに対しても、問題のURLが投稿されていたという。

同社によれば、スパムメールに記載されていたダウンロード用のリンクは、IPアドレスがアクセスするたびに変更されており、「日本」「台湾」「アルゼンチン」「オランダ」「ウクライナ」「ロシア」「オーストラリア」の7カ国のIPが利用されていた。

感染する「WORM_KELIHOS」は、リムーバブルドライブ内のすべてのフォルダを隠しフォルダに変更するとともに、同一名称のショートカットファイルを作成。ユーザーにファイルを実行させる。さらに、FTPソフトの認証情報を収集したり、電子通貨「Bitcoin」の情報を収集する機能も備えていた。

また同社調査時には、すでにアクセスできない状態だったが、誘導先の一部に、Javaの脆弱性「CVE-2013-0422」を悪用するエクスプロイトが組み込まれていたことを確認しており、ほかのマルウェアへ感染するおそれもあったという。

(Security NEXT - 2013/04/22 ) このエントリーをはてなブックマークに追加

PR

関連記事

アノニマスが日本の政府機関を攻撃すると宣言 - 大規模攻撃に発展するおそれも
東京オリンピックの便乗フィッシングメール、17万4000人に送信か
「東京五輪の無料チケット」で誘うメールに要警戒 - 攻撃計画が進行中
広告機能のみのアプリが「Google Play」で流通 - 紹介ページにある魅力的な機能はデタラメ
2017年度「標的型攻撃」 は幅広い分野が標的に - 「ANEL」「Taidoor」「PLEAD」などのツールを悪用
西日本豪雨に便乗する詐欺に注意 - 義援金は信頼できる振込先へ
開幕で盛り上がるW杯便乗攻撃、試合日程や結果の確認ツールに偽装
大阪北部地震へ便乗するサイバー攻撃や詐欺などに警戒を
「W杯」便乗のサイバー攻撃に注意を - 選手の検索結果に危険が潜む場合も
アンケート回答で「iPhone Xプレゼント」とだます「偽日本郵便」に注意を