今度は Facebook でも Locky ランサムウェアに感染!
Facebook のインスタント・メッセージ機能がかつてないほど危険になったかも知れません。というのも、ウィルスの専門家がかの悪名高き Locky ウィルス のスパム・キャンペーンに遭遇したからです。2016 年全体を通して、Locky ランサムウェアは世界で最も猛威を振るったサイバー感染の部類に入ります。そして、残念ではありますが、この伝統が延々と続きそうな気配なのです。このウィルスの開発者はどうやらこの極度に破壊的なプログラムを拡散するための新しい方法を止め処なく思いつくようです。つい最近、エクスプロイト・キットの RIGG-E が活発に活動するようになってから、このウィルスの配布量が劇的に増えました。Locky の開発者は潜在的に迷惑なプログラムが用いているシステム感染経路も試しており、ランサムウェアの悪意のあるスクリプトをニセモノの Flash Player に埋め込みました。こうやって、ウィルスの作成者はその攻撃の矛先をソーシャル・ネットワーク、即ち Facebook に向けてきているのです。
Facebook のプラットフォームはマルウェアの作成者や配布する人物からずっと関心の的となってきました。2014 年の初頭から、様々なバージョンの Facebook ウィルス が次々と急速に現れるようになりました。このような悪意のあるプログラムの一部はただマルバタイジングの目的のみで作られていましたが、他にもアカウントのログインやオンライン・バンキングの情報をフィッシングする目的のものもあり、残りはただ人々をからかう目的で作られていたようです。しかし、とうとうランサムウェアがこのソーシャル・ネットワーキング・サイトにお目見えするようになったようです。さて、この状況は Facebook のプライベート・メッセージ機能経由で Nemucod Trojan がすでに広がりつつあることから、変化の兆しが見えます。このウィルスは photo_4837.svg、photo_999.svg または photo_8470.svg と呼ばれるベクター・ファイルとしてユーザーの受信トレイにやってきます。これは通常、ターゲットになった被害者の Facebook の友達リストにのっているアカウントのうち、すでに感染しているものを通じて送られてくるため、ためらいなくクリックされることがほとんどです。悪意のあるリンクとやりとりをすると、ユーザーは直ちに Youtube を模倣した怪しいページにリダイレクトされますが、それは実際には全く関係のない kerman.pw/?fb_dsa というドメインに基づいています。この新しく現れたページにはユーザーに対し、直ちに “Ubo” または “One” と呼ばれる拡張プログラムをブラウザにインストールするよう促す通知が表示されます。インストールされると、これらの拡張プログラムによりハッカーはブラウザに関する全ての管理権限を入手でき、PC に Nemucod Troyan をダウンロードすることにより引き続きシステムを乗っ取ることができます。このマルウェアのダウンローダはどのようなウィルスや潜在的に迷惑なプログラムをも感染した PC にこっそりと取り入れるために使われますが、現在は Locky の配布に専念している様子であり、これを PC に置いたままにしておくことは大変危険です!
Nemucod が Locky を PC にダウンロードするのを手をこまねいて見ていてはいけません。アンチウィルスで端末を定期的にスキャンして、個人データや PC システムを危険なアプリに破壊させてしまいかねない脆弱性を取り除きましょう。フィアルを完全に安全な状態にキープするには、バックアップ・コピーを取ってどこか安全な場所に保管しておくことをお忘れなく。