SNSのアカウントを乗っ取るブラウザの偽プラグイン（トレンドマイクロ）

トレンドマイクロは、「Google Chrome」または「Mozilla Firefox」のいずれかのユーザを狙う、SNSに潜む脅威を改めて確認したと同社ブログで発表した。

脆弱性と脅威脅威動向

2013.8.1 Thu 16:49

トレンドマイクロ株式会社は8月1日、「Google Chrome」または「Mozilla Firefox」のいずれかのユーザを狙う、SNSに潜む脅威を改めて確認したと同社ブログで発表した。この脅威は、これら両方のブラウザの偽の拡張機能を使いユーザのコンピュータに侵入したり、特に「Facebook」や「Google+」、「Twitter」といったSNSのアカウントを乗っ取るというもの。偽の動画プレイヤーの更新をインストールするようユーザに促すが、実際には「TROJ_FEBUSER.AA」として検出される不正ファイルであり、感染ユーザが使用しているブラウザに応じてプラグインをインストールする。

同社では、Google Chrome用のひとつ前のバージョンを「JS_FEBUSER.AA」として検出しており、「Chrome Service Pack 5.0.0」という名称が使われている。一方、Mozilla Firefox用の偽プラグインは「Mozilla Service Pack 5.0」であった。問題の更新バージョンは、「F-Secure Security Pack 6.1.0」（Google Chrome用）と「F-Secure Security Pack 6.1」（Mozilla Firefox用）という名称が利用されている。この不正なプラグインは、一旦インストールされると、不正なWebサイトにアクセスし、設定ファイルをダウンロードする。そして、ダウンロードした設定ファイルの詳細を利用し、ユーザに気づかれることなくSNSアカウントを乗っ取る。その後、以下の動作を実行する。

・ページに「いいね！」をする
・投稿をシェアする
・グループに加わる
・友達をグループに招待する
・友達とチャットをする
・コメントを投稿する
・ステータスを更新

《吉澤亨史（ Kouji Yoshizawa ）》