マルウェアにリンクされたFacebookアプリケーションに注意

2011/01/13

McAfee Labsは先日、悪質なJavaアプレットがFacebookアプリケーションからリンクされていたことを確認しました。

この脅威は、ユーザーがプロフィールにFacebookアプリケーションをインストールしているかどうかに関わらず、ユーザーをその被害に巻き込みます。東欧の言語で表示される特定のFacebookアプリケーションを閲覧すると、「Sun Java MicroSystems」によって公開された、「Sun_Microsystems_Java_Security_Update_6」と称する、署名済みのJavaアプレットをホストしている悪質なサイトに接続されます。

これらの動作のうち疑わしいと思えるものは、信頼できるソースによってデジタル署名が検証されていない、ということだけです。また、アプレットの実行許可を求める警告メッセージも表示されるため、見破るのは非常に困難です。

このようなソーシャルエンジニアリングによる手法は、署名を検証できなかった場合に発行元になりすますことが容易なため、悪質なサイトで一般化しつつあります。警告メッセージには、アプレットを実行できるようにすることによるリスクについては書かれていません。ユーザーが「More Information(詳細情報)」をクリックした場合のみ、「Javaによる通常のセキュリティ制限」が適用されないことを説明する細則を読むことができます。

Javaには、EXEファイルをダウンロードして実行するなど、通常Webブラウザ内で実行されるJavaアプレットが、仮想マシン外でコードを実行しないようにするセキュリティが組み込まれています。

この場合、ユーザーがRun(実行)をクリックすると、Javaアプレットにより、Webサイトでパラメーターとして受け渡されたURLから、任意の実行ファイルがダウンロードされます。実行ファイルはローカルユーザーのプロファイルフォルダーに「NortonAV.exe」という名前で保存され、実行されます。Windowsで実行された場合、ファイルは「C:\Documents and Settings\[ユーザー名]」(Windows XP/2000の場合)、「C:\Users\[ユーザー名]」(Windows Vista/7の場合)に保存されます。

ダウンロードされたトロイの木馬は、ユーザーのPCに格納されているパスワードを盗み出すパスワードスティーラーです。パスワードのログは、暗号化されたSMTP/TLS接続により、gmail.comのメールアカウントに送信されます。

このアプレットとトロイの木馬をホストしていたWebサイトは、Global Threat IntelligenceのWeb評価で「危険度高」に、既にランク付けされています。アプレットとダウンロードされるトロイの木馬は現在、それぞれGeneric PWS.tk!dldr、Generic PWS.tkという名前で検出されています。