マルウェア

Facebookを通じて配布される新しいボットネット「Filmkan」、トルコの攻撃者が配布元の可能性

< 1 min read

概要

1月31日、セキュリティ・リサーチャーであるモハンマド・ファガーニ(Mohammad Faghani)は、Facebookの投稿を通じて配布されているマルウェアの分析を公開しました。そのマルウェアによって生まれた「いいね！」の数から、ファガーニは10万人を超えるユーザーがマルウェアに感染したと推測しました。当社は、このマルウェアの公式名の特定には至っていませんが、コマンドやコントロールに使用されているドメインにちなんで「Filmkan」と名付けました。

当社の分析から、このマルウェアはトルコの攻撃者によって作成された可能性が最も高いと考えられます。このマルウェアには、トルコ語で書かれたコメントが数多く含まれており、コマンドやコントロールに使用されているドメインはトルコ企業を通じて登録されたものです。さらに、攻撃に関わるソーシャル・ネットワーク・プロファイルは、トルコの利用者のものです。Filmkanは、ソーシャル・ネットワークと単純にやりとりできる以上の機能を持ち、非常に柔軟です。この攻撃の全体的な意図は現在のところ明らかではありませんが、Filmkanの作成者は短期間に大規模なボットネットを集約することに成功しています。

Filmkanの機能

最初のレポートにはわずかな詳細しか含まれていませんでしたが、ファガーニは2月2日の追加分析で追跡調査を行い、このマルウェアに関するより詳細な機能を明らかにしました。当社のWildFireクラウド型マルウェア分析機能では、1月22日にこのマルウェアのサンプルを最初に確認し、これまでにファガーニが説明した動作を示す44の異なるサンプルを収集しています。

このマルウェアは、大まかに次の4つのコンポーネントで構成されています。

Windows実行可能ファイル・ドロッパー(AutoHotkeyベース)
Wget for Windows実行可能ファイル(正規)
悪意のあるGoogle Chrome拡張機能
攻撃者のサーバから配信される動的なJavaScriptコード

最初の感染は、アダルト・ビデオであることを示すFacebook投稿内のリンクをクリックすると発生します。数秒後、そのビデオを再生するにはFlash Playerの更新プログラムをダウンロードする必要があるというメッセージが表示されます。これが最初のドロッパーの実行可能ファイルです。攻撃者は、次のURLにあるGoogleのクラウド・ストレージを通じて実行可能ファイルをホストしていました。

hxxp://storage.googleapis[.]com/aytackurst/install_flashplayer14x32_x64m
hxxp://storage.googleapis[.]com/aytackurst/install_flashplayer14x32_x63m
hxxp://storage.googleapis[.]com/aytackurst/install_flashplayer14x32_x86m

Filmkanドロッパー

Filmkanドロッパーには、正規の更新プログラムであるかのように偽装するためのFlashアイコンが含まれています。

Filmkanの作成者は、Windowsアプリケーション作成用の正規ツールであるAutoHotkey (AHK)を使用して、カスタムスクリプトを使用してドロッパーを作成しました。AHKスクリプトは、スクリプト・コードを解釈するバイナリにコンパイルされるため、すべてのWindowsシステムに移植可能です。Filmkanバイナリに含まれるAHKスクリプトには、トルコ語で書かれたデバッグ文字列が多数含まれています。このスクリプトには、次のような機能があります。

システム上にGoogle Chromeがインストールされているかどうか確認する
Google Chromeがインストールされていない場合はインストールし、デスクトップにショートカットを追加する
Application Dataディレクトリにドロッパー・バイナリを「Chromium.exe」としてコピーする
システムの起動時にChromium.exeを開始するための実行キーを設定する
chromenet.exeとChromium_Launcher.exeという名前のファイル(おそらく、ドロッパーの旧バージョン)を削除する
バイナリから正規の実行可能ファイルwget.exeをインストールする
更新された実行可能ファイルがないかどうか3つのコマンドおよびコントロール・サーバを確認する
更新された実行可能ファイルがあればダウンロードして置き換える
コマンドおよびコントロール・サーバからダウンロードされたコンテンツを含む悪意のあるChromeプラグインをインストールする

ドロッパーは最初のインストールとドロッパー自体の更新を行いますが、残りの機能はFilmkan Chrome拡張機能に含まれています。

FilmkanのChrome拡張機能

Chrome拡張機能を使用すると、開発者はGoogleのChromeブラウザを拡張することができます。これは通常、新機能を追加する際に利用されます。開発者はJavaScriptとHTMLで拡張機能を作成し、その拡張機能の操作に必要なリソースと共にパッケージ化することが一般的です。Filmkanドロッパーは、定義済みの3つのC2サーバのいずれかからインストールされたwget.exeプログラムを使用してJavaScriptを取得します。そして、そのJavaScriptコードを「bg.txt」として保存します。これは、インストールされたChrome拡張機能のマニフェストで「バックグラウンド」スクリプトとして定義されています。このスクリプトは、システム上でChromeブラウザが開かれると必ず実行されます。

攻撃者は、bg.txtファイルのコンテンツをいつでも変更できます。スクリプトの現在のバージョンには、3つのプライマリ関数が含まれています。

Chrome拡張機能は、ユーザーが次のURLと一致するタブを開くとそのタブを閉じることにより、ユーザーが拡張機能を発見して削除することを効果的に防ぎます。

“chrome://extension”
“chrome://chrome/extension”
“chrome://settings/resetProfileSettings”
“opera://extensions/”
“browser://tune/”
“chrome://help/”

この拡張機能は、hxxp://www.filmver .com/ahk/get.jsからJSONデータ配列をダウンロードします。そして、そのデータをブラックリストとして使用し、次の文字列のいずれかを含むURLがブラウザによって読み込まれないようにします。

avast.com
eset.com
microsoft.com
virusscan.jotti.org
jotti.org
avg.com
kaspersky.com.tr
kaspersky.com
facebook.com/ajax/webstorage/process_keys.php
facebook.com/checkpoint/malware/cr_ext_config
facebook.com/checkpoint/malware/cr_ext_log
dl.dropboxusercontent.com
docs.google.com
drive.google.com
facebook.com/ajax/follow/unfollow_profile.php
vuupc.com
mcafee.com
googlecode.com
akamai.net
facebook.com/xti.php
.exe
exelansdealers.com
facebook.com/ajax/profile/removefriendconfirm.php
facebook.com/ajax/report/social.php
joygame.com
senakadir.org
yllix.com
blogspot
.scr
hebacanak.xyz
milyoncu.xyz
ez123.ezgo123.com
ezgo123.com
deactivate.php

アンチウイルスやセキュリティ関連のドメインをブロックすることは、マルウェアの作成者がユーザーに感染を駆除されないように利用する一般的な手法ですが、このリストに含まれているものの多くは不審なドメインです。JoyGame.comは、トルコのテレビ・ゲームのWebサイトです。また、exelansdealers.comは以前、同様の悪意のあるChrome拡張機能をホストするために使用されていました。

この拡張機能の3つ目のプライマリ関数は、hxxp://www.filmver .com/ahk/user.phpからJavaScriptコードをダウンロードして実行するためのものです。この関数によって攻撃者はいつでもスクリプトを変更できるため、Filmkan拡張機能は非常に柔軟と言えます。

ファガーニが最初に自身の分析を発表した当時、このマルウェアのコンポーネントは、Sabırというコミュニティ・ページの特定の投稿に「いいね！」を付けるようにユーザーのFacebookアカウントに強制していました。投稿によっては、ほとんどコンテンツが含まれていないにも関わらず、10万個を超える「いいね！」を集めたものもありました。

スクリプトの最新バージョンでは、これらの投稿に「いいね！」を強制することはなくなりましたが、代わりにTwitterで次の最初の2つのアカウント、Facebookで3つ目のアカウントをユーザーにフォローさせるようになっています。

Twitter: Hüseyin
Twitter: Emrah Yıldırım
Facebook: Hüseyin Karaman (コンテンツ削除済)

この3つすべてのアカウントがトルコの個人のものである以外、これらのアカウントとその攻撃者との関連は不明です。スクリプトには、amung.usがホストするトラッキングURLも含まれます。これにより、攻撃者は現在マルウェアに感染しているユーザーの数を特定することができます。以下は、現在の感染数のスナップショットです。

hxxp://whos.amung[.]us/swidget/hcfj8xyq9p94

攻撃者は、このトラッキングURLを頻繁に更新しています。目的はおそらく、悪意のある拡張機能の最新コードを現在実行しているユーザーの追跡だと考えられます。以下は、最新のスクリプトの完全版です。

Filmkanに対する保護

Filmkanは、ソフトウェアの脆弱性を悪用しているわけではなく、これまでのところソーシャル・エンジニアリングを利用してユーザーに感染しています。ユーザーは、Google ChromeでFlashの更新プログラムが提供されていることを示すメッセージには疑いを持つ必要があります。Chromeには、Googleによって更新されるFlashランタイムが組み込まれているためです。

組織は、次のドメインへのアクセスをブロックして、Filmkanが攻撃者から更新プログラムを受信することを防いでください。これらのドメインは、Filmkanの大きな弱点であり、これら3つすべてを同時に遮断することで攻撃者はこのボットネットにアクセスできなくなります。