ハクティビストたちは、ニュージーランドの銃乱射犯がイスラム恐怖症を煽る暴言をコピーした罠を仕掛けて拡散しており、これはネット上の「自警団」活動と称されている。
セキュリティ企業のBlue Hexagonは、インターネット上で出回っている犯人のマニフェストにWindowsマルウェアが含まれていることを発見したと発表した。このマルウェアは、必要な権限で実行するとシステムを再起動し、ユーザーに反人種差別的なメッセージを表示させる。この文書を探し求める者を罰することが目的のようだ。
この悪質なソフトウェアは、ブートドライブのマスターブートレコード (MBR) を上書きしてテキストを表示することでこれを実行し、その後念のためマシンを再起動します。MBR は、電源投入後または再起動後にオペレーティングシステムを起動するために必要なデータ構造です。
ニュージーランドでは、ミームまみれのトロルまみれの虚無主義的ナンセンスの渦巻くマニフェストは殺人やテロを扇動するとして違法とされているものの、ファイルは地下フォーラムで今も出回っている。MediaFireがホストする改ざんされた暴言へのリンクは、Twitterと8chan(クライストチャーチ銃撃犯が頻繁に利用していた小児性愛者向けのLinkedInフォーラムサイト)で最初に共有されたと伝えられている。8chanの名前はここで改めて引用するほどの価値もない。
Blue Hexagon によると、MBR を変更するマルウェア自体は、.docx として送られる汚染されたマニフェスト内に直接埋め込まれているわけではなく、ドキュメント内で開かれ実行されるとトリガーされる難読化された Visual Basic スクリプトによってダウンロードされ、実行されます。
「この文書の武器化されたバージョンは、オリジナルの宣言文の内容に似ているが、いくつかの際立った特徴がある」とブルー・ヘキサゴンのイルファン・アスラー氏は今週説明した。
業界をリードする当社の素晴らしいAIは、ニュージーランドの虐殺ライブ映像を検知するにはあまりにも愚かだった、とFacebookは肩をすくめる
続きを読む
オリジナルのマニフェストのメタデータでは、作成者の名前としてテロ攻撃に関連して逮捕された容疑者の名前が記載されていましたが、兵器化されたトロイの木馬の作成者情報には、「マオリ」(ニュージーランドの先住民族の名称)という人物が作成したと記載されています。兵器化されたバージョンとの最大の違いは、第2段階のペイロードをダウンロードしようとする難読化されたVBAスクリプトコードが含まれていることです。
文書内のスクリプトは、haka.exeという2つ目のファイルを取得します。ハカとはニュージーランドの先住民族マオリ族の伝統的な踊りのことです。そして、ここで真の被害が発生します。この実行ファイルはホストのMBRを書き換え、強制的に再起動させます。
マシンが再起動すると、黒い画面と赤い文字で「これは私たちじゃない!」というメッセージが表示される。これは、白人至上主義者による攻撃の後、団結と癒しを求めて反人種差別主義者たちが共有したフレーズである。
「この攻撃には、混乱を引き起こすこと以外に、金銭目的のような動機は見当たりません」とAsrar氏は結論づけています。何らかの理由でこのマルウェアに感染してしまった場合は、オペレーティングシステムの回復・修復ツールを使ってMBRを再構築してください。®
