先週、WindowsとMac双方のマルウェアをプッシュする、かなり革新的なFacebookマルウェア攻撃があった。
一部の人はMacスケアウェアコンポーネントに気を散らされたが、我々には全体的な攻撃の第2のファクターでしかなかった。エフセキュアThreat Solutionsチームのアナリストによれば、Windowsコンポーネントである偽の「Adobe Flash Player」アップデートは、「ZeuS」ボットの特徴を持っている。従って我々は、同攻撃がWindows OSボットネットの構築にフォーカスしており、Mac OSスケアウェアはおまけとして付け加えられた(MacユーザをプッシュするZeuSバイナリが存在しなかったので)と結論づけた。
Facebookは、「newtubes.in」にリダイレクトされた悪意あるリンクをブロックするのに24時間以上を要した。このドメインはインドのTLDを使用しており、リトアニアのサーバでホスティングされ、タイの「Narcisa Scott」に登録されていた。
結局は、攻撃者が使用したリンクはすべて、Facebookにより削除された。
そして我々は先週、どのようなスパム/攻撃ベクタが使用されたにせよ、Facebookが停止させたことを願った。
しかしその期待は無駄になった。
同じ連中が現在、Facebookプロフィールを介して、ポルノサイトへのリンクを広めているのだ:
プロフィールが「Free Tube Hub」のOpenbookサーチを介して、リンクをポストしているのが分かるだろう。
これらのサイトは、「blackbootyblog.com」「ebonyarea.com」「justebonypussy.com」「ebonykey.com」といった名称で、すべてテーマが共通している…
それはこれらの多くが、同じサーバでホスティングされているからだ:
このWebサイトサーバは障害が起きているようで、「/watch/」という、ユーザを「borntobefree.in」にリダイレクトしようとするスクリプトを含んだフォルダが挿入されている。「borntobefree.in」というドメインは、インドのTLDを使用しており、リトアニアのサーバでホスティングされ、タイの「Andrew Farrell」に登録されている。
聞き覚えがあるような。
つまり…ポルノサイトサーバは、実際の攻撃サイト「borntobefree.in」を隠蔽する煙幕なのだ。
巧妙なトリックだ。
先週のマルウェア攻撃の場合のように、同一のIPアドレスからのあまりに多くのアクセスは、youtube.comへのリダイレクトになる。また、この攻撃サーバはGeo-IPアウェアであり、米国と英国のユーザにフォーカスしている。
我々は現在、これらリンクがFacebookのプラットフォームを介し、「ウイルス的に」拡散しているという証拠は見つけていない。それよりも、これらはボットを介して直接プロフィールにポストされているようだ。
もし本当なら、Facebookは問題を抱えている。このタイプの攻撃をブロックするため、Facebookは感染したユーザのプロフィールを一時停止する必要があるからだ。しかしコンピュータが感染していることを、ユーザに報せる方法は?
先週述べたように、これは十分に開発されたテクニックを使用した、高度にプロフェッショナルな攻撃だ。
そしてしばらくの間、こうした攻撃が続くのではないかと思われる。
一部の人はMacスケアウェアコンポーネントに気を散らされたが、我々には全体的な攻撃の第2のファクターでしかなかった。エフセキュアThreat Solutionsチームのアナリストによれば、Windowsコンポーネントである偽の「Adobe Flash Player」アップデートは、「ZeuS」ボットの特徴を持っている。従って我々は、同攻撃がWindows OSボットネットの構築にフォーカスしており、Mac OSスケアウェアはおまけとして付け加えられた(MacユーザをプッシュするZeuSバイナリが存在しなかったので)と結論づけた。
Facebookは、「newtubes.in」にリダイレクトされた悪意あるリンクをブロックするのに24時間以上を要した。このドメインはインドのTLDを使用しており、リトアニアのサーバでホスティングされ、タイの「Narcisa Scott」に登録されていた。
結局は、攻撃者が使用したリンクはすべて、Facebookにより削除された。
そして我々は先週、どのようなスパム/攻撃ベクタが使用されたにせよ、Facebookが停止させたことを願った。
しかしその期待は無駄になった。
同じ連中が現在、Facebookプロフィールを介して、ポルノサイトへのリンクを広めているのだ:
プロフィールが「Free Tube Hub」のOpenbookサーチを介して、リンクをポストしているのが分かるだろう。
これらのサイトは、「blackbootyblog.com」「ebonyarea.com」「justebonypussy.com」「ebonykey.com」といった名称で、すべてテーマが共通している…
それはこれらの多くが、同じサーバでホスティングされているからだ:
このWebサイトサーバは障害が起きているようで、「/watch/」という、ユーザを「borntobefree.in」にリダイレクトしようとするスクリプトを含んだフォルダが挿入されている。「borntobefree.in」というドメインは、インドのTLDを使用しており、リトアニアのサーバでホスティングされ、タイの「Andrew Farrell」に登録されている。
聞き覚えがあるような。
つまり…ポルノサイトサーバは、実際の攻撃サイト「borntobefree.in」を隠蔽する煙幕なのだ。
巧妙なトリックだ。
先週のマルウェア攻撃の場合のように、同一のIPアドレスからのあまりに多くのアクセスは、youtube.comへのリダイレクトになる。また、この攻撃サーバはGeo-IPアウェアであり、米国と英国のユーザにフォーカスしている。
我々は現在、これらリンクがFacebookのプラットフォームを介し、「ウイルス的に」拡散しているという証拠は見つけていない。それよりも、これらはボットを介して直接プロフィールにポストされているようだ。
もし本当なら、Facebookは問題を抱えている。このタイプの攻撃をブロックするため、Facebookは感染したユーザのプロフィールを一時停止する必要があるからだ。しかしコンピュータが感染していることを、ユーザに報せる方法は?
先週述べたように、これは十分に開発されたテクニックを使用した、高度にプロフェッショナルな攻撃だ。
そしてしばらくの間、こうした攻撃が続くのではないかと思われる。
