インターネットに詳しいユーザーは、無料映画をオンライン上で検索して鑑賞していますが、それらのユーザーは知らない間に悪意のある攻撃者の罠にはまっている可能性があります。攻撃者は、公開された新作映画を活用して、マルウェアを配布する罠をしかけており、WindowsとMacの両方のユーザーがこの攻撃を受ける危険性があります。

Symantec Security Responseで発見した内容としては、有名なウェブサイト上にブログを開設し、ユーザーを騙しているのですが、実際マルウェアをホスティングする悪意のあるウェブサイトにリダイレクトされます。

ユーザーは、2009年4月に公開された映画「Obsessed」をオンライン上で無料で見るために、「movie」、「free」、「video」、「online」、「watch」などのキーワードと映画名を一緒に検索すると考えます。例えば、"obsessed movie online free full video"という文で検索すると以下のような検索結果が表示されます。

 

 

 もし、ユーザーが最初の検索結果の中の一つのリンクをクリックすると、blogspot.com上に掲載されたブログに誘導されます。

 

 

 ユーザーが動画再生ウインドウのように見える画像を一度クリックすると、コーデックのダウンロードを開始しますが、実はこれは偽のコーデックです。更なる調査により、blogspot.comは、複数の攻撃者が似たようなブログを使って悪用していたことが判明しており、似たようなテンプレートが使われていることを示唆しています。

例えば、以下の画像は、映画「InkHeart」をポストしたブログです。このブログは、上記のサンプルで使われたテンプレートに似たものを使っており、マルウェアをホスティングしているウェブサイトにユーザーをリダイレクトします。これらのブログは、通常、様々な誘導先を使ってユーザーを悪質なサイトにリダイレクトし、サイバー犯罪者が最終的にマルウェアを配布するサイトを継続的に変更することが可能になっています。
 

 

以下の表は、攻撃者がマルウェアを配布するために新作映画の公開を詳しく追っていることを示しています。

 

 

 

興味深いことに、ユーザーがリダイレクトされた悪意のあるサイトは、WindowsのみならずMac OS向けにもマルウェアを配布しています。WindowsのブラウザエージェントにはWindows OS向けのトロイの木馬を、MacのブラウザエージェントにはMac OS向けのトロイの木馬を配布します。
 

 

 上記の画像は、同じURLがInternet Explorer 8向けにWin32の実行ファイルを配信し、Mac OSが使用されている場合にはSafari 4向けの.dmgファイルが配信されていることを示しています。

Symantecのアンチウイルス製品は、この脅威をウィンドウズ向けには「Trojan.Fakeavaler」及びMac向けには「OSX.RSPlug.A」として検知します。Symantecのお客様は最新のアンチウイルス定義に更新することで、この攻撃から保護されます。
 
Symantecでは、以下のような方法でこのようなマルウェアから防御することを推奨しています。

• 必ず適切な方法で保護を実施すること - 強力かつアップデートされたセキュリティソフトにより、ウイルスによるPCへの攻撃を防ぐこと。Norton 360はウイルス、ワーム、ハッカー、ボットネットに対してオールインワン型の保護を提供し、オンラインでのIDの盗難を防ぎ、重要なファイルを保護します。
• 公式サイトや、評価が高く信頼性のあるソースから、アプリケーション、ファイル、プログラム、ソフトウェアアップデート、コーデックをダウンロードすること。
• ソーシャルエンジニアリングの手口に注意すること。これらの手口は個人に成りすましたり、個人を騙したりすることで、悪意のあるコード攻撃を行うことがあります。「無料のオンライン映画」などのサイトに訪問する際は注意してください。

 

---

この記事は Security Response Blog（英語）にてDeepak Patilによって掲載された内容を日本向けに編集された記事です。原文（英語）はこちら。