Blackhole ?????????????????????
ヨーロッパ連合(EU)の財政危機は最近、劇的な展開を見せています。EU でも特に人口の少ない加盟国であるキプロスで、普通預金の残高に対して 1 回限り 10 パーセントの課税計画が発表されました。全島の銀行で口座が封鎖され、議会では前例のない措置について討論されています。その間、不安を抱える口座名義人は、自分たちの預金の行方について事態の推移を見守るしかありません。株主や投資家ではなく、一般の顧客です。
悪名高い Blackhole 悪用ツールキットについては、このブログでも過去に何度となく取り上げてきましたが、その Blackhole もキプロスの一般市民の不安心理につけ込み、事態の新展開を報じるニュースを装った電子メールを送りつけています。
図 1. Blackhole 悪用ツールキットが送る悪質な電子メール
メッセージは、英国放送協会(BBC)ニュースサイトのおすすめ記事紹介サービスから送信されたことになっています。送信元アドレスも、BBC おすすめメッセージを名乗る件名と同様に詐称されたものです。
メッセージからリンクされるランディングページは、「Cyprus Crysys [sic] – BBC(キプロス機危 [原文まま] – BBC)」というタイトルで、BBC の実際のニュースに偽装しています。このページには、「You will be redirected to news(ニュースサイトにリダイレクトされます)」とも書かれています。
図 2. Blackhole 悪用ツールキットが偽装した BBC ニュースのランディングページ
実際のリダイレクト先は、おなじみの Blackhole 悪用ツールキットのページで、そこには Adobe Flash Player や Adobe Acrobat Reader、Java の脆弱性を狙ういくつかの悪用コードが仕掛けられています。数秒後にはタイマー機能が実行され、今度は本物の BBC Web サイトにリダイレクトされます。
図 3. Blackhole 悪用ツールキットで不明瞭化された、脆弱性を悪用する JavaScript
前述したように、キプロスは EU でも特に人口の少ない加盟国ですが、この国で起きる出来事の影響はそれ以上に大きい意味を持っています。ギリシャの多くの人々が、最近の財政危機と政治的不安定のなか、預金を保全するためにキプロスの銀行に資金を移動したからです。また、キプロスはロシア企業にとってオフショアセンターとしても大きな役割をはたしています。
その後、キプロス議会がこの課税案を否決したため、新しい Blackhole 悪用ツールキットのソーシャルエンジニアリングメールでは、北米の大手銀行が使われるようになっています。マルウェアの作成者が、情勢の変化にいかに迅速に対処するかという見本です。
Symantec.cloud では、50 件以上の Web サイトが危殆化し、Blackhole 悪用ツールキットの最新のソーシャルエンジニアリング攻撃へのリダイレクトに利用されていることを確認しています。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。