新年の挨拶は警戒を。Facebookメッセンジャーで感染する仮想通貨発掘マルウェア「DIGMINE」

 ビットコイン等の仮想通貨の盛り上がりに比例して最近他人のCPUを利用して仮想通貨を発掘(マイニング)させる「仮想通貨発掘マルウェア」が増加傾向に有る。

 韓国のセキュリティ研究者c0nstantがFacebook Messengerを拡散チャネルとして利用する「仮想通貨発掘マルウェア」についてレポートを公開した。このレポートを受けてトレンドマイクロ社はこのマルウェアを「DIGMINE」と名付けた。トレンドマイクロによれば、現在DIGMINEは韓国、ベトナム、アゼルバイジャン、ウクライナ、フィリピン、タイ、ベネズエラといった地域に拡散されているという。

■DIGMINEの動作

 DIGMINEはデスクトップアプリ、又はChromeを利用している環境でのみ動作する。スマホやChrome以外のブラウザでFacebook Messengerを利用している場合には動作しない。

 DIGMINEは、Facebook Messengerにて「video_xxxx.zip(xxxxの部分には数字が含まれる)」という名称のファイルへのリンクを友人に送付する。videoとなっているが、中身は実行形式のファイルとなっており、実行するとC&Cサーバから仮想通貨マイニング用のコンポーネントをダウンロードし、感染者のChromeを不正に利用し仮想通貨をマイニングする。感染者がFacebookを自動ログイン設定にしていた場合には、Facebook Messengerから同様のファイルをダウンロードさせるメッセージを友人に送信し拡散させる。

DIGMINEの攻撃チェーン:出典トレンドマイクロ
DIGMINEの攻撃チェーン:出典トレンドマイクロ

■「新年のメッセージ」は:警戒を

 トレンドマイクロはFacebookにDIGMINEについて報告し、FacebookはDIGMINEに利用されたリンクは削除したとしている。しかし、DIGMINEのリンクは攻撃者によって変更することが可能で有るため、DIGMINEの感染が完全に収まったかは確認されていない。

 また、今回発見されたDIGMINEはFacebook MessengerとChromeの機能を利用した攻撃だが、別のSNSが同様の攻撃に利用される可能性は十分に有る。

 新年の幕開けと同時に多数のメッセージがFacebook MessengerやSNSを利用して飛び交うことが予想されるが、怪しげな添付ファイルやURLを発見したら、クリックはせず、まずはメッセージを送付してきた友人に心当たりがあるか確認してみることを推奨する。