2012年12月12日
株式会社Doctor Web Pacific
数日前、Doctor Webはチベットのスピリチュアルリーダーであるダライ・ラマ(14世)の公式サイトが感染しているという報告を受けました。ブラウザ内でサイトからページをロードする際に、エクスプロイト(CVE-2012-0507)を含んだ.jarファイルが同時にダウンロードされることがDoctor Webのアナリストによって発見されました。この脆弱性を自動的に悪用することで、Mac OS Xを標的としたトロイの木馬が起動されます。この悪意のあるプログラムはBackDoor.Docksterとしてウイルスデータベースに追加されました。
このマルウェアはMac OS Xシステムのユーザーのホームフォルダ内に置かれた上で起動されますが、このバックドアは管理者権限を必要とせず、通常のユーザーアカウントで動作することが可能です。BackDoor.Docksterは感染したコンピューター上でのキーボードによる入力内容を記録し、その情報(パスワードが含まれている場合もあります)を犯罪者に送信します。また、それら犯罪者から受け取った様々なコマンドを実行します。
BackDoor.Dockster.1はダライ・ラマのサイトにアクセスした全てのコンピューター上に、そのシステムプラットフォームに関係なくダウンロードされようとします。恐らく、犯罪者は感染させたサーバーがクライアントOSを判別するように設定することが出来なかったものと考えられ、このことは、感染したリソース上でCVE-2012-4681を含んだ別の.jarファイルがDoctor Webのアナリストによって発見されているという事実によっても裏付けられています。このファイルはWindowsを標的としたBackDoor.Gyplitプログラムのインストールに使用されます。このマルウェアは感染したシステム上で情報を収集して送信し、様々なコマンドを実行しますが、JARファイルはコンピューター上にダウンロードされません。
クライアントOSの判別を行うサイトは少なくとも2つ存在しており、その結果に応じて該当するJARファイルがコンピューター上にダウンロードされます。1つ目のケースでは、Windows向けのファイルはシステムをTrojan.Inject1.14703に感染させるためのExploit.CVE2011-3544.83を含み、その他のOSを対象としたJARファイルは脆弱性CVE-2012-0507を悪用してMac OS X をBackDoor.Lamadai.1に感染させます。この悪意のあるプログラムは感染したサイトからLinux搭載のコンピューター上にもダウンロードされますが、このシステム内では動作しません。
2つ目のケースは北朝鮮の動向について報道する有名な韓国のニュースサイトで、このサイトも同様のスクリプトを使用して訪問者のOSを判別しますが、悪意のあるファイルTrojan.MulDrop3.47574が標的としているのはWindowsのみです。
チベット独立とダライ・ラマといったテーマは、以前にもマルウェアの拡散および悪意のあるメールの送信に悪用されており、犯罪者は悪意のあるソフトウェアの拡散に感染したサイトを利用するといった傾向が窺えます。こうしたケースでは通常、感染したサイトがチベット又は北朝鮮に関連したものであるため、攻撃は比較的狭い範囲を標的としたものになります。
感染したwebサイトの管理者に対しては、この攻撃に関して即座に報告を行い、Doctor Webのアナリストは悪意のあるコードが削除されるまで数日の間待つこととなりました。
マルウェアによるシステムの感染を防ぐため、現在、Dr.Web SpIDer Gateのコンテンツ別フィルタリングのデータベースには該当するURLが一時的に加えられています。