宇宙の正義の部門から、シマンテックの研究者が発見したこの逸品が届きました。Windows、Mac、Linux コンピュータをターゲットとするトロイの木馬には、敵対する犯罪組織が感染したマシンを乗っ取ることができる重大なセキュリティ上の脆弱性が含まれています。
Trojan.Jnanabot、あるいはOSX/Koobface.A、trojan.osx.boonana.aとして知られるこのボットは、10月にJavaベースの構成により、多くのマルウェアと同様にWindows PCだけでなく、MacやLinuxマシンも攻撃対象としていることが研究者によって発見され、大きな話題となりました。インストールされると、トロイの木馬コンポーネントは非表示のフォルダに保存され、強力な暗号化によって通信のプライバシーが保護されます。
ボットは、ホストにインターネットリレーチャットを通じて指示を実行させたり、DDoS攻撃を実行したり、被害者のFacebookアカウントに不正なメッセージを投稿したりすることができる。
シマンテックの研究者たちは、このボットのピアツーピア機能に脆弱性を発見しました。この脆弱性を悪用することで、ライバルの犯罪者がリモートから被害者のハードドライブ上のファイルを盗んだり、ファイルをコピーしたりすることが可能になります。つまり、そもそも感染を拡散させようとした正体不明の犯罪組織は、ボットネットを盗まれる危険にさらされているのです。
「暗号化されており、クロスプラットフォーム対応のためJavaで書かれているにもかかわらず、ディレクトリ横断型の脆弱性が依然として存在していました」と、シマンテックのグローバルインテリジェンスネットワーク担当ディレクター、ディーン・ターナー氏はThe Regに語った。「技術的な観点から言えば、たとえ安全なプラットフォーム上であらゆる対策を講じて構築していたとしても、マルウェアにアプリケーションセキュリティを組み込んでいなければ、他の悪意ある人物に悪用される可能性が高いということです。」
JnanabotのP2P機能は、複数の通信チャネルを提供することでボットネットの閉鎖を困難にするように設計されています。感染したマシンに1回のGETリクエストを送信するだけで、ウェブサイトはホストのファイルシステム上の任意の場所に任意のファイルをアップロードするために必要なすべての情報を取得できます。攻撃者は、例えばコンピュータのスタートアップディレクトリに悪意のあるプログラムを書き込むことで、ユーザーのマシンに単純なバックドアをインストールできます。
攻撃者は同じ脆弱性を利用して、感染したマシン上のファイルを盗む可能性があります。
ターナー氏によると、Jnanabotの感染数はこれまでのところ「数千単位」で、よく知られているトロイの木馬の中には数十万単位のものもあるという。しかし、シマンテックが12月に収集した感染統計は驚くべきものだ。感染の約16%がMacに及んでいることが示されており、Linuxマシンへの感染は確認されていない。ターナー氏によると、オープンソースプラットフォームに対するJnanabotの攻撃は、再起動後も生き残ることができなかったという。
出典:シマンテック
このボットは、感染したユーザーのFacebookページに「あなたが私の友達リストに載っているので、自殺する決心をしたことをお知らせします」というメッセージを埋め込み、Facebookの投稿を介して拡散しているのが発見されました。投稿には、Windows、Mac、Linuxで実行可能なクロスプラットフォームのJAR(Javaアーカイブ)ファイルへのリンクが含まれています。受信者が感染すると、Facebookページにも同じ警告が表示されます。
マルウェア開発者が自社製品に深刻な脆弱性を組み込むのは今回が初めてではありません。9月には、研究者のビリー・リオス氏が、感染したPCの大規模ネットワークを容易に乗っ取ることができるZeusクライムウェアキットの脆弱性を公開しました。
シマンテックは、トロイの木馬について、こちら、こちら、そしてこちらでさらに詳しく説明しています。®
