トレンドマイクロは9月11日、グーグル製のWebブラウザー「Google Chrome」の拡張機能を悪用する新たな不正プログラムを発見したと、同社のセキュリティブログで明かした。
確認した不正な拡張機能は、Chromeのユーザーを不正サイトに誘導するというもの。FacebookもしくはTwitterへのアクセスをきっかけに、Webページを表示する。
具体的には、トルコ語で「辛辣な言葉」「重い歌詞」「意味のある歌詞」「愛のメッセージ」「愛の歌詞」といった意味の言葉が表示される。ページ内に悪質なプログラムは見つからなかったが、不正活動の一部と考えていいという。
|
トルコ語で書かれた不正なWebサイト |
グーグルは、Chromeの不正な拡張機能があることを以前から確認しており、対処策として拡張機能の配布を「Chrome ウェブストア」のみにした。
ところが、今回のサイバー犯罪者は、Chromeと関係のないインストールファイルを利用した。インストール時にChromeのディレクトリフォルダー内に直接フォルダーを作成し、中にコンポーネントを作成する。
|
不正プログラムが不正活動を行う前の機能拡張フォルダ |
|
フォルダが作成され、ブラウザ拡張機能のコンポーネントが作成される |
サイバー犯罪者は、プログラムの配布にTwitterを利用した。Twitter上で「Facebook Secrets」という動画をダウンロードできると称するツイートを拡散。Twitterの利用者がツイートにある短縮URLをクリックすると、「download-video.exe」という名前のEXEファイルをダウンロードされる。これをインストールするとChromeの拡張機能が追加される。
|
:不正なリンクが記載されたツイート |
|
:「download-video.exe」は、Flash Playerの拡張機能を装いChromeに拡張機能をインストールする |
トレンドマイクロは、問題のツイートが6000回以上リツイートされ、多くの人に拡散されているという。今回のTwitterでの拡散はサイバー犯罪者にとってのよくある手口であるとし、Twitter上の短縮URLを安易にクリックして開かないように注意を呼びかけた。
