米Symantecは、同社が運営するblog「Symantec Security Response Weblog」において、マルウェアを悪用したRMT行為を警告した。

ブログのエントリーによると、今年2月に発生した米NFLの優勝決定戦(スーパーボウル)の開催地ドルフィンスタジアムのWebサイトが改ざんされ、IFRAMEタグの参照先にMS07-004のIEの脆弱性を悪用するページを設定されてしまった事件と類似の手法が、マルウェアの感染に用いられているという。

具体的には、SQLインジェクションを使用することで一般のサイトに侵入、同様のIFRAMEタグを加え、MS07-004のIEの脆弱性を悪用するJavaScriptを参照するようにページを変更する。そして、サイトの閲覧者に対し、オンラインゲームのアカウント情報を盗み出すマルウェアに感染させようとするのだという。

この手法が使用されたマルウェアの一例として、Infostealer.Linglingがあるという。同社では、Infostealer.Linglingの発見日は2月14日としている。

また、Infostealer.Linglingの感染動作は、ウィンドウ名が中国語のWorld of Warcraftを検索し、次のデータを収集するという。

• World of Warcraftのサーバ名
• ユーザID
• パスワード
• OSの情報
• ローカルIPアドレス

収集に成功したデータは、特定のサーバへと送信されるという。

Symantecは、このようなマルウェアを参照するようにWebサイトを改変されてしまった事業者に対して、連絡を実施しているとしている。加えて、Infostealer.Linglingに関する中国語による動画解説をYouTubeに掲載している。