チェックポイント社は、危険な Locky ランサムウェアを配布している最近の Facebook での大規模なフィッシング キャンペーンの背後に、画像難読化のトリックが使われている可能性があると考えている。
このセキュリティ企業は技術的な詳細を公表していないが、それはこの脆弱性が依拠しているが、その脆弱性は依然としてFacebookやLinkedInなど、名前が明らかにされていないウェブ資産に影響を与えているからだ。
記述されている欠陥は、筆者の意見では、El Reg の技術に精通した読者にとって最終的にはほとんどリスクはありませんが、不明な実行ファイルをダウンロードして実行するように騙される可能性のある人々はリスクにさらされます。
この攻撃は、Facebook のセキュリティ管理を破るという点でも重大である。
Checkpointの研究員であるRoman Ziakin氏とDikla Barda氏による概念実証ビデオでは、攻撃者がFacebook Messenger経由で.JPGに偽装したHTA HTMLアプリを送信することでこの脆弱性を悪用する様子が示されています(JavaScriptで読み込まれたSVG画像も使用可能です)。被害者は添付ファイルをクリックする必要があります。すると、Windowsのファイル保存プロンプトが表示され、.HTAファイルがダウンロードされる保存ディレクトリを尋ねられます。
Messengerで送信された画像は
添付ファイルではなくプレビューとして表示されます
次に、保存した .HTA ファイルをダブルクリックして、Locky ランサムウェアを起動する必要があります。
この攻撃は自動化されていないが、Facebook の厳格なセキュリティ モデルを破壊するものであり、Checkpoint では Facebook の「設定ミス」とみなされている。
Facebook は間違いなくこの欠陥を修正するでしょう。The Social Network™ はすでに、悪意のあるコードから保護するために、ブラウザの JavaScript コンソールを開いたユーザーに警告を発しています。
チェックポイントの関係者は、Facebook は信頼できる資産であるため、この攻撃は有効だと述べている。
「ソーシャルネットワーキングサイトで過ごす人が増えるにつれ、ハッカーはこれらのプラットフォームに侵入する方法を見つけることに焦点を移している」とジアキン氏とバーダ氏は書いている。
「サイバー犯罪者は、これらのサイトが通常ホワイトリストに登録されていることを理解しており、そのため、ソーシャルメディアを悪意ある活動のホストとして利用する新しい手法を常に模索しています。」
FacebookのJavaScriptコンソールの警告
hta ファイルを開いたユーザーは、大量に出回っている最悪のランサムウェアの亜種の 1 つを解き放ち、バックアップの復元か身代金の支払いしか選択肢が残らないような方法でローカル ファイルを暗号化することになります。
Locky には復号化方法がなく、ほとんどの被害者はバックアップ ファイルも削除されていることに気付くでしょう。
Lockyは現在も活発に開発が進められています。作成者は最近、ウイルス対策ソフトによる検出率が低い新しいダウンローダーを使用して、 .zzzzz暗号化ファイル拡張子に切り替えました。®
YouTubeビデオ
