親イスラエル Web サイト、Koobface が盗んだパスワードを受信する


By アンドリュー・ブラント / Andrew Brandt

Koobface ワームの開発チームはイスラエルとパキスタンの和平交渉に関心があるのでしょうか。それとも、この悪名高いワームによる最新の奇妙な展開はただの偶然でしょうか。

Koobface は1 年以上にわたって正規の Web サイトを乗っ取り、悪意のあるペイロード ファイルをホストするだけでなく、ボットネットのプロキシ指揮管理サーバーとして使用していました。乗っ取られた Web ドメインの 1 つ migdal.org.il が、マルウェアのホスティングに使われているドメインをリストアップする Web サイトや多数のブログ投稿に登場したのは、Koobface の開発チームが新たに乗っ取った多数のサーバーを悪意のあるファイルの配布ポイントとして使用し始めたこの 5 月に遡ります。


また、この夏以降、Koobface は、パスワードを盗み出すトロイの木馬をいくつかのペイロードと共に、感染したコンピューターに配信しています。このトロイの木馬は migdal.org.il.exe という名前で、感染したコンピューターから盗み出されたパスワードは migdal.org.il Web サーバーに即座に送り返されます。この Web サーバーは物理的には英国の ISP に存在します
また、Web サイトに投稿されているコンテンツを信じるとすれば、Migdal はフランスのユダヤ系組織のようです。イスラエルの子供たちや国境警備隊に支援物資を提供しており、その指導者たちは、長い和平交渉を通してパレスチナの交渉担当者が要求しているイスラエルの利権の譲渡に反対しているようです。Koobface 一味は政治に関心を持つようになったのでしょうか。それとも、放置された Web サイトを単に利用しているだけでしょうか。
(更新: このサイトは、この投稿が公開された翌日の 9 月 3 日に停止されました。名前は伏せますが、この ISP の協力に感謝します)。
「Migdal」ペイロードを調べてみたところ、かなり平凡なパスワード スティーラーのように思われました。SpyEye や Zbot と同じ系統のものですが、これらの一般的なトロイの木馬とは違いがあるようです。ウェブルートは、この 2 か月の間に Koobface ペイロードとして出現した一連のファイルをチェックしました。どのファイルもサイズはすべて約 110 ~ 130 KB の範囲にありました。

テスト システム上でトロイの木馬 Migdal は、FTP クライアント アプリケーションの FileZilla に入力したダミーのパスワードをいくつか盗み出しました。さまざまなシステム モニターのログによると、このトロイの木馬は他の FTP クライアント (Total Commander、TurboFTP、FlashFXP など) や Total Commander が FTP パスワードを保存するために使用する wcx_ftp.ini ファイルがないかハード ドライブを探し回っていたことが判明しています。

また、Firefox と Internet Explorer で保存されていたダミーのパスワードを盗み出し、Opera と Opera 9 Beta ブラウザーの標準のインストール ディレクトリを探していました (これは失敗しています)。この動作は SpyEye や Zbot では見られなかったものです。

このトロイの木馬はパスワードを盗み出すと HTTP POST で Migdal サーバーに送信した後、自分自身を削除するバッチ ファイルを生成して実行し、姿を消してしまいました。

少し読みやすくした偽の認証情報をご覧ください (画像をクリックするとフルサイズで表示されます)。

このトロイの木馬は、サーバーを乗っ取って他のマルウェアを拡散するだけでなく、盗み出した認証情報を引き渡すための場所として乗っ取ったサーバーを使用します。

このトロイの木馬の活動の結果、Migdal Web サイトは、ウェブルート独自の評価サービスだけでなく、SiteAdvisorWeb of TrustSafe WebGoogle Safe Browsing (これは Firefox に直接組み込まれます) などの信頼できるサードパーティによる評価サービスでも全面的に評価がとても悪くなったようです。Koobface に乗っ取られたサイトのリストにこのサイトが初めて追加されたのは Dancho Danchev 氏のブログMalwareURL でした。ウェブルートは、この Web サイトの所有者とこの Web サイトをホストしている ISP に連絡を何度も試みましたが、現在のところ自動応答以外の返信は一切届いていません。

そのため、Koobface 一味は、盗み出した認証情報の保存場所として、長期間放置されていた Web サービスを単に利用しているだけなのか、パレスチナ自治区からのミサイル射程範囲内に住む子供たちに防弾チョッキを提供しているという自称「軍事組織」の信用を落とすためにこのサーバーを狙って攻撃しているのか、謎のままとなっています。それは誰にもわかりません。トロイの木馬はこのドメイン名にちなんで命名されているため、Koobface 一味がこの特定のドメイン名に注意を引こうとしていることは明らかですが、その真意は不明です。

wordpress blog stats

広告