Kaspersky LabのエキスパートがMac OS X向けFlashfakeマルウェアを分析

～機能とオペレーション方法の改善が判明～

本リリースは、2012 年 5 月25日にロシア モスクワにて発表されたニュースリリースの抄訳です。

2012年4月にKaspersky Labのエキスパートが、Mac OS Xのマルウェアの感染と配布の仕組みについての詳細な分析結果をまとめた“The Anatomy of Flashfake, Part 1"を発表しました。この分析は、Flashfake（Flashbackとしても知られています）が4月末までに748,000台以上のMac OS Xコンピューターにどのようにして感染したのか、技術的な詳細を伝えるものでした。このマルウェアは被害者のコンピューターの検索結果をハイジャックすることによって引き起こされるクリック詐欺に誘導するために使われていました。

さらにKaspersky Labのエキスパートは5月25日に“The Anatomy of Flashfake Part 2"を発表しました。これは、マルウェアの追加機能を調べ、Flashfakeのサイバー犯罪者がクリック詐欺によって金銭を生み出すために使用している技術的な手法についての綿密な解析をまとめたものです。

オペレーション方法

悪意のあるFlashfakeプログラムは、感染した被害者のブラウザーに悪意のあるコードを注入する複数のモジュールから構成されています。悪意のあるコードが一旦、注入されるとFlashfakeのコマンド & コントロール(C&C)サーバーのリストに感染したコンピューターを接続します。今では被害者がWebサイトを閲覧するためにグーグルの検索エンジンを使うと、Webサイト上の正当な広告やリンクはFlashback コマンド & コントロール(C&C)サーバーによって不正なものに置き換えられてしまいます。ユーザーに不正なリンクや広告をクリックさせることによって、サイバー犯罪者はユーザーをだまし、クリック詐欺に遭わせようとします。

改善された機能

2012年3月、Flashfakeグループは、より多くの機能を備えたダイナミック・ライブラリーの新バージョンを作成しました。特に、これはTwitterやごく最近ではFirefoxブラウザーのアドオンを使っているFlashfake C&Cサーバーのための新しい検索方法も含んでいます。悪意のあるFirefoxブラウザーのアドオンが、AdobeのFlash Playerアドオンに成りすまし、コマンド & コントロール(C&C)サーバーと通信し、クリック詐欺を実行するための機能を果たします。

Kaspersky LabのGlobal Research and Analysis Team（GReAT）ディレクター、 コスティン・ライウ（Costin Raiu）は次のように述べています。「Flashfakeは現在、Mac OS X向けの悪意のあるプログラムとして最も拡散しています。このことはサイバー犯罪者にとって今、Mac OS Xが明確なターゲットであることを示しています。サイバー犯罪者は、ゼロデイの脆弱性を組み込むための攻撃方法を発展させただけではなく、適応能力を持ったプログラムを作成しました。Flashbackは、アンチウイルスソリューションをチェックし、自己防衛手段を施し、コマンド & コントロール(C&C)サーバーと通信するために暗号化を使用します。TwitterとFirefox用に機能が追加されたことは、犯罪者にマルウェア配布効率と規模を改善するために時間と労力をつぎ込む意思があることを実証しています。」

【Kaspersky Lab について】http://www.kaspersky.co.jp/
Kaspersky Lab は、ウイルス・スパイウェア・クライムウェア・不正侵入・フィッシング詐欺・スパムといった IT 上の脅威に対抗する世界で最も迅速かつ高品質な保護を提供する、ヨーロッパ最大のアンチウイルスベンダーです。エンドポイント向けソリューションにおいては、全世界でもトップ4のシェアを持っています。個人／SOHO向けにとどまらず、中小企業向け、大企業向け、モバイル端末向けなど多様な分野の各種製品で、業界最高の検知率と最短の対応時間を実現しています。また、Kaspersky の技術は業界を代表する IT セキュリティ製品やソリューションに、広く世界中で採用されています。詳細については http://www.kaspersky.co.jp/ をご覧ください。また、アンチウイルス、アンチスパイウェア、アンチスパムなどIT セキュリティに関する最新情報を http://www.viruslistjp.com/ にて提供しています。