2016 年 7 月 1 日 MARC LALIBERTE 著

あるユーザーが先週末、Q&A サイトの Stack Exchange に、Facebook 経由で送られてきたマルウェアの特定に関する質問を投稿しました。その投稿によれば、ある友人が投稿したコメントに自分がタグ付けされたという通知を Facebook から受け取り、その通知のリンクをクリックしたところ、ブラウザーによって解読不能の JavaScript ファイルが自動ダウンロードされたそうです。JavaScript の実行時の簡易分析で、そのスクリプトがマルウェアをダウンロードして実行するローダーアプリケーションとして動作していたことがわかりました。

Stack Exchange の別のユーザーがその悪意ある JavaScript ファイルの詳細分析を実施した結果、この JavaScript によって Windows の AutoIt の実行形式である Chrome の拡張機能といくつかの AutoIt の悪意あるスクリプトがダウンロードされ、インストールされていたことがわかりました。このマルウェアはどうやら、この Chrome 拡張機能を使用して Facebook の投稿を不正に作成し、他のホストも感染させることを狙っていたようです。

この JavaScript には Chrome の拡張機能以外にも、AutoIt の実行形式やいくつかの AutoIt スクリプトをダウンロードする機能が含まれていました。AutoIt は、(通常は悪意のない) スクリプト作成言語で、これを利用することで、IT 管理者は複数の Windows ホストを簡単に構成できます。このマルウェアの場合は、悪意あるハッカーが AutoIt スクリプトを利用して、ランサムウェアのような動作を実行しようとしていました。スクリプトそのものは、感染した Web サイトでホスティングされていて、詳細に検査されることのない、拡張子が .jpg の通常の画像ファイルであるかのように見せかけていました。

このユーザーの場合は、通知のリンクにアクセスしたことで、ブラウザーによって悪意ある JavaScript が自動ダウンロードされてしまいましたが、幸運にも、ブラウザーがコードを自動実行することはありませんでした。マルウェアの作者は、JavaScript そのものをユーザーが起動することを期待していたようですが、起動されなければ続行できないため、攻撃の成功率はそれほど高くないと考えられます。

いずれにしても、今回の件は、インターネットから勝手に送られてくるアプリケーションを絶対に実行すべきではないことを示す良い例です。今回のユーザーの場合は、Facebook の通知をクリックした後にブラウザーがファイルをダウンロードしたために、赤いフラグが直後にブラウザーに表示されたものと考えられます。そのために、ファイルを先ずは調査してからエキスパートに質問するという正しい行動を取ったことで、このユーザーは被害者にならずにすみました。

ブラウザーの拡張機能を使用する際は、最新の修正プログラムを常に適用するよう心がける必要があります。今回のマルウェアの攻撃手法はあまり高度なものではありませんでしたが、高度なマルウェアはたくさん存在します。ブラウザーの脆弱性を悪用し、知らぬ間にコンピューターを感染させてマルウェアを自動実行しようとする攻撃が今後もさらに増加するでしょう。– Marc Laliberte