Facebookアカウントの利用解除確認を悪用したメールによりマルウェアに感染


By Dancho Danchev

2012年12月、我々はFacebook社を偽装したスパムメールを傍受した。

「あれ?間違って解除依頼しちゃったかな?」と思い込ませるようなメールになっているため、メール本文のリンクをクリックしがちである。リンクをクリックしたユーザーは、自動的にクライアントの脆弱性が悪用され、マルウェアに感染する。

過去24時間にサイバー犯罪者はFacebookをテーマにした数万の迷惑メール配信を再開した。

サンプルスクリーンショット:

20130201blog-01

活動URLチェーン:

hxxp://mailstatic.twilightparadox.com -> hxxp://kidstoytowers.com/log/forums/index.php?showtopic=852510 -> hxxp://kidstoytowers.com/log/forums/rhin.jar -> hxxp://kidstoytowers.com/log/forums/Goo.jar -> hxxp://kidstoytowers.com/log/forums/lib.php -> hxxp://kidstoytowers.com/log/forums/load.php?showforum=lib

クライアントのエクスプロイト:

CVE-2010-0188CVE-2011-3544CVE-2010-0840

悪意のあるドメイン名:

kidstoytowers.com – 62.75.181.220 – 同じIPアドレスを持つドメインdailyfrontiernews.com

ドロップされるマルウェア:MD5: 9356fcd388b4bae53cad7aea4127d966

一度実行されると、下記のレジストリキーを設定:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a20cd692-8e41-11e1-9999-806d6172696f}\\BaseClass
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\(null)\C:\WINDOWS\system32\ipconfig.exe

また下記のプロセスを作成:

C:\d97f042474a0b1814fd681dca3ec2c5edf7054acff979f585a044478bc7c5cbd

もしFacebookのアカウント利用解除に心当たりがなければ、それはスパムメールかもしれませんので、phish@fb.com に転送しFacebookに知らせるとよいでしょう。

ちなみにウェブルート セキュアエニウェア シリーズをお使いのお客様は、保護されていますのでご安心を。

<ウェブルートのインターネットセキュリティ製品>-スパイウェア対策、ウイルスおよびマルウェアからの保護

無料トライアル

<企業・法人向け>http://www.webroot.co.jp/Ja_JP/business-products-secureanywhere-endpoint.html

<個人向け> http://www.webroot.co.jp/Ja_JP/consumer-trials.html

<モバイル> https://play.google.com/store/apps/details?id=com.webroot.security.trial30&feature=search_result#?t=W251bGwsMSwyLDEsImNvbS53ZWJyb290LnNlY3VyaXR5LnRyaWFsMzAiXQ


wordpress blog stats