Downloader.Liftoh ? W32.Phopifas ????
シマンテックが検出した Downloader.Liftoh は、ユーザーに気づかれないまま侵入先のコンピュータにマルウェアをダウンロードするトロイの木馬です。
この脅威の新しい亜種が 5 月の初めに発見され、スペイン語圏の中南米諸国で検出されました。Downloader.Liftoh のこの亜種は英語ではなくスペイン語のメッセージを送信しますが、2012 年 10 月にこのブログで取り上げた W32.Phopifas に類似しています。
Downloader.Liftoh の作成者は、中南米でも人気の高い Skype や、他のインスタントメッセージアプリケーションをマルウェアの拡散に利用しています。
- 被害者が、連絡先に登録されていると思われるユーザーからのメッセージを受信します。メッセージは、「esta es una foto muy amable de tu parte(あなたの素敵な写真です)」や「jaja, esta foto extraña de tu perfil(笑える、ほら、あなたの写真だよ)」など似通った内容で、掲載されている URL をクリックさせようと誘うものです。URL は、goo.gl、url9.de、fur.ly、bit.ly、is.gd といった短縮 URL サービスを使って短縮されています。
図 1. 悪質な Skype メッセージ
- 短縮 URL をクリックすると、被害者は 4shared.com サイト上の URL にリダイレクトされます。
- 4shared.com サイトに進むと .zip ファイルをダウンロードするよう要求され、そこに正規のインスタントメッセージファイルに偽装した Downloader.Liftoh が含まれています。
- このファイルの圧縮を解除すると、中に .exe ファイルがあります。
- この .exe ファイルを実行すると、Downloader.Liftoh はコンピュータへの侵入に成功します。
この攻撃は、サイバー犯罪者が攻撃に利用している Google 社の URL 短縮サービスを通じて、171,553 回のクリックを獲得したことが確認されています。
図 2. Downloader.Liftoh は、5 月 20 日以降全世界で 171,553 回のクリックを獲得
図 3. 中南米における Downloader.Liftoh のクリック数分布
マルウェアの拡散に、地理的な国境はありません。攻撃者に必要なのは、各言語に合わせてマルウェアのコードを書き換えて、新しい侵入先コンピュータを探すことだけです。個人のコンピュータやネットワークを侵入から保護するために、スパム対策やウイルス対策の機能を備えた統合セキュリティソリューションを導入し、常に最新の状態に保つことをお勧めします。また、たとえ知っている相手から届いた場合でも、疑わしいリンクをクリックしたり、怪しいファイルを開いたりしないようにしてください。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。