Facebookメッセンジャーを介して感染し仮想通貨のマイニングを行うマルウェア「FacexWorm」

by home thods

セキュリティ会社のトレンドマイクロが、Facebookメッセンジャーを介して感染するマルウェア「FacexWorm」についてのレポートを発表しました。FacexWormは感染したPCに保存されているGoogleのアカウント情報などを盗む上に、ユーザーに隠れて仮想通貨のマイニングを行いCPUパワーを消費してしまうとのことで、トレンドマイクロはFacebookメッセンジャーで送られてきたリンクを安易に踏まないよう注意を呼びかけています。

FacexWorm Targets Cryptocurrency Trading Platforms, Abuses Facebook Messenger for Propagation - TrendLabs Security Intelligence Blog

FacexWormは2017年8月に発見されたマルウェアです。2018年4月に入り、ドイツ・チュニジア・日本・台湾・韓国・スペインでの活動が報告され、FacexWormの感染が急速に拡大していることが判明しました。

FacexWormはFacebookメッセンジャーを介して、Facebookの友人にリンクを送ります。リンクにアクセスするとYouTubeなどの動画ストリーミングサイトを装った偽のページにリダイレクトされます。

同時にChrome用の拡張機能のインストールをすすめるポップアップが表示され、許可とFacexWormに感染してしまいます。また、FacexWormはユーザーがChromeの「拡張機能」設定ページ(chrome://extensions/)を開いたことを検出するとすぐに閉じ、設定画面へのアクセスを妨害します。なお、他のウェブブラウザでアクセスした場合は無害な広告を表示するだけとのこと。

FacexWormは感染したPCから、ユーザーのGoogleアカウントや仮想通貨ウォレットサービス・MyMoneroのアカウントを盗み出します。さらに、リダイレクト先ページにはJavaScriptが仕込まれていて、CPUパワーの約20％を利用して仮想通貨のマイニングを行います。また、ユーザーが仮想通貨の取引を行っている場合、FacexWormはトランザクションページに接続した時に入力したアドレスを探し出して攻撃者が指定したアドレスに置き換えます。トレンドマイクロの研究者は、FacexWormが4月19日までに2ドル49セント(約270円)分のBitcoin取引を行ったことが判明していると発表しています。FacexWormの攻撃対象となる仮想通貨取引はBitcoin Gold(BTG)・Bitcoin Cash(BCH)・Dash(DASH)・ETH・Ethereum Classic(ETC)・Monero(XMR)・Ripple(XRP)・Litecoin(LTC)・Zcash(ZEC)とのこと。

Chromeウェブストアはトレンドマイクロによる報告より以前から悪意のある拡張機能の多くを削除しており、Facebookメッセンジャー側でも悪意のあるリンクを検出してブロックすることで感染の拡大を防ぐことができるため、FacexWormの感染拡大を抑えることは十分可能だとトレンドマイクロは発表しています。

FacexWormと同様にFacebookメッセンジャーを介して感染を広げる同様仮想通貨マイニングマルウェアとして、「Digmine」も2017年12月に報告されています。トレンドマイクロは、仲の良い友人からリンクが飛んできても無防備にアクセスせず、十分警戒を持って対応するよう呼びかけています。