Oligur

• ニュース

セキュリティ専門家のシマンテックによると、ピーク時には65万台以上のMacに感染していたことが判明したFlashbackマルウェアは、作成者に1日あたり最大1万ドルの収益をもたらしていたという。OSX.Flashback.Kトロイの木馬は、これまでで最大のMac感染と考えられており、Googleのページビューと広告収入を盗むように設計されている。

トロイの木馬は、ユーザーのマシンにインストールされると、Web ブラウザからのすべての検索リクエストを傍受し、ユーザーのトラフィックを任意のページに転送して、ユーザーの訪問から収益を得る「広告クリック コンポーネント」を読み込むことができます。

シマンテックは、その仕組みを次のように説明しています。

Flashback広告クリックコンポーネントはChrome、Firefox、Safariに読み込まれ、ブラウザからのすべてのGETリクエストとPOSTリクエストを傍受できます。Flashbackは特にGoogleで検索クエリをターゲットとし、検索クエリによっては攻撃者が選択した別のページにユーザーをリダイレクトし、クリックによる収益を得る可能性があります。（Googleが意図した広告クリックを受け取ることはありません。）

このマルウェアは、調査を回避するように設計された特別なユーザー エージェントを使用するほど巧妙です。

Flashbackはこれらのリクエストで、特別に細工されたユーザーエージェントを使用します。これは実際には、クライアントのUniversally Unique Identifier（UUID）をBase64でエンコードしたものです。これは既に「ua」クエリ文字列パラメータで送信されているため、「未知の」第三者が認識できないユーザーエージェントを使ってURLを調査するのを阻止するための措置であると考えられます。

このようなトロイの木馬は、平均して約25,000台の感染で、作成者に1日あたり約450ドルの収益をもたらす可能性があります。Flashbackトロイの木馬が650,000台のMacにインストールされている場合、その額は1日あたり約10,000ドルにまで増加する可能性があります。

[ Macworld経由]