Facebookメッセンジャー経由で拡散「FacexWorm」|感染するマルウェアが仮想通貨を狙う

セキュリティ会社のトレンドマイクロが、Facebook Messenger(メッセンジャー)を悪用して拡散する「FacexWorm」について発表しました。Facebook 利用者であれば、ほとんどの方が利用したことがあると思われるメッセンジャーを介して“感染する”マルウェア。仮想通貨取引プラットフォームを狙う Chrome 拡張機能は、まざまな不正行為におよぶことが分かりました。対象となった仮想通貨取引プラットフォームも開示されています。

仮想通貨取引プラットフォームを狙う Chrome 拡張機能「FacexWorm」

Chrome 拡張機能「FacexWorm(フェイスエックスワーム)」「FacexWorm」に感染すると、攻撃者が仮想通貨に関連したさまざまな不正活動を実行することが分かりました。

・感染したパソコンに保存されているGoogleのアカウント情報を窃取
・ウォレットサービス「MyMonero」のアカウント認証情報を盗む
・仮想通貨発掘ツール「Coinhive」のアカウント認証情報を窃取
・仮想通貨取引プラットフォームの認証情報の窃取
・ユーザーに隠れて仮想通貨のマイニングを行う
・仮想通貨取引プラットフォームの認証情報窃取・仮想通貨取引処理の乗っ取り
・仮想通貨詐欺ページにリダイレクト
・仮想通貨関連の「Referral Program(紹介プログラム)」への誘導

トレンドマイクロの「Cyber Safety Solutions チーム」によって確認されました。レポートによると、2017年8月に確認され、2018年4月上旬には欧州、日本、韓国、台湾などで急増。FacexWormに感染したユーザーがわずかながら確認されていますが、注意喚起した時点で既に多くがChrome から削除済みとなっていました。

Facebookメッセンジャーでの感染経路例

攻撃者FacexWormはFacebookメッセンジャーを介して、Facebookの友人にウェブページへのリンクを送りつけることで拡散させています。受け取ったユーザーが、リンクにアクセスすると“偽りの”YouTubeなどの動画ストリーミングサイトを装ったページにリダイレクトされます。同時にChrome用の拡張機能のインストールをすすめるポップアップが表示(「動画再生コーデック」と称したChrome拡張機能)のインストールが促されます。

この促されるインストールは、偽りで実態はFacexWormのため、許可とFacexWormに感染してしまいます。この拡張機能をインストールすると、ユーザーが閲覧したウェブのユーザーデータの読み取りや変更を可能にする権限が要求されます。そして、ユーザが権限を許可すると、攻撃者のサーバに接続して不正な機能を追加し、正規のFacebookページを開きます。

FacexWorm は Facebook が開かれたことを検知すると、拡散のために利用する機能が有効化されているチェックするために C&C サーバと再び通信します。オンライン中もしくは直近までオンラインだった友達に対して、先ほどの偽のYouTubeページへのリンクを送りつけていきます。なお、デスクトップ版のChormeブラウザ以外でこのリンク先にアクセスすると、無作為な広告ページに誘導されるようです。

トレンドマイクロはFacebookメッセンジャーで送られてきたウェブページへのリンクを安易に踏まないよう注意を呼びかけています。

対象となる仮想通貨取引プラットフォーム

感染したユーザが仮想通貨に関連したサイトの取引処理ページを開くと、FacexWorm はユーザが入力した送金先アドレスを特定し、そして「攻撃者が指定したアドレス」に置き換えてしまいます。トレンドマイクロでは対象となる取引プラットフォームを開示しています。

「Poloniex」、「HitBTC」、「Ethfinex」、「Binance」、「Blockchain.info」です。また、「ビットコイン(BTC)」、「Bitcoin Gold (BTG)」、「Bitcoin Cash (BCH)」、「Dash (DASH)」、「ETH」、「Ethereum Classic (ETC)」、「Ripple (XRP)」、「Litecoin (LTC)」、「Zcash (ZEC)」、「Monero (XMR)」などの仮想通貨が狙われました。攻撃者が指定したアドレスを、2018 年 4 月 19 日時点で確認したところ、0.00030275 BTC(2018 年 5 月 7 日時点で約308円)の取引処理が 1 件乗っ取られているのみでした。

引用元:仮想通貨取引プラットフォームを狙う Chrome 拡張機能「FacexWorm」、Facebook Messengerを悪用して拡散|トレンドマイクロ http://blog.trendmicro.co.jp/archives/17376

現在確認できている段階では、深刻な被害は少ないと伝えていますが、トレンドマイクロは、今回の脅威について得られた知見を Facebook に情報開示しているということです。Facebookといえば、アカウント乗っ取り被害や情報漏洩など、人の集まるSNSは欲しい情報が大量にあり狙われやすいともいえるのではないでしょうか。不用意にリンクをクリックしないことだけではなく、日頃よりパスワード、SNSに接続されているアプリの確認等、ベストプラクティスにも心がけてほしいということです。ベストプラクティスとは(英文)

 

参考資料:トレンドマイクロ、zdnet、gigazine

http://blog.trendmicro.co.jp/archives/17376

https://japan.zdnet.com/article/35118756/

https://gigazine.net/news/20180502-facexworm-cryptocurrency-mining-virus/

 

LINE@で情報配信中!

 

 

スマホでご覧の方は▼こちらを直接クリックしてください。

LINE@で情報配信中「Bibit Post」