2013年3月22日

株式会社Doctor Web Pacific

Doctor Webは、2013年に入ってからMac OS Xを標的とするアドウェアの数が増加していることについて報告します。中でも特に目を引くのは、感染したシステム内にアドウェアブラウザプラグインをダウンロード、インストールするTrojan.Yontoo.1です。

Doctor Webのアナリストによると、様々なプラットフォームを狙ったアドウェアの増加傾向は2013年の初めから続いており、犯罪者達はアフィリエイト広告ネットワークプログラムから利益を得、Apple互換コンピューターのユーザーに対する関心を日増しに高めています。先ごろ発見されたTrojan.Yontoo.1は、そのようなソフトウェアの顕著な例と言えます。

このトロイの木馬は、コンピューター内に侵入するために複数の手段を用いることが出来ます。ユーザーは、トロイの木馬を拡散するために犯罪者達が作成した映画予告編のページで、ブラウザプラグインをインストールするよう促されます。このようなプロンプトは、プラグインのインストールが必要な場合や、追加の設定が必要な場合に表示される標準的なダイアログを模倣しています。「Install the plug-in」をクリックしてしまうと、ユーザーは他のサイトへリダレクトされ、そこからTrojan.Yontoo.1がダウンロードされます。

また、その他の方法として、メディアプレイヤーや動画品質向上プログラム、ダウンロードアクセラレータを装ってダウンロードされることもあります。

Trojan.Yontoo.1は起動されるとダイアログウィンドウを開き、「Free Twit Tube」をインストールするかどうかをユーザーに確認します。

しかし、ユーザーが「Continue」をクリックするとFree Twit Tubeではなく、Yontooプラグインがダウンロード（インターネットから）、インストールされます。このプラグインはMac OS Xユーザー間で最もポピュラーなブラウザであるSafari、Chrome、Firefox向けになっています。その後プラグインは、ユーザーがネットサーフィンを行っている間に、閲覧したページに関する情報をリモートサーバーへ送信します。

続けてプラグインは、その応答として、それらのページ内にトロイの木馬がコードを埋め込むためのファイルを受け取ります。以下の画像は、感染したシステム上で表示されたapple.comページです。

このようなブラウザ拡張はDr.WebによってAdware.Pluginとして検出されています。同様の拡散手法がWindows PCに対しても用いられていることに注意する必要があります。