同社は、Twitter で、「Facebook Secrets」という動画をダウンロードできるとうたうツイートを確認した。ユーザーがこのツイートに記載された短縮 URL をクリックすると Web サイトに誘導され、EXE ファイルがユーザーの PC に自動的にダウンロードされる。
 |
| 不正なリンクが記載されたツイート |
「download-video.exe」というファイル名でダウンロードされるこのファイルは、実際は「TROJ_DLOADE.DND」として検出されるダウンローダ。このダウンローダにより、PC 上にファイルが次々とダウンロード、または作成される。ユーザーから疑いを持たれないために、これらのファイルは「flash.exe」といった、正規のファイルに見えるファイル名を利用する。
この不正プログラムは、ファイルのダウンロードおよび作成のほか、Flash Player の拡張機能を装ったブラウザの拡張機能を PC 上にインストールする。
Google のセキュリティポリシーを回避するために、この不正プログラムは、Google Chrome のディレクトリにフォルダを作成し、次の2つのブラウザ拡張機能のコンポーネントを作成する。
1つは、manifest.json (ブラウザ拡張機能の詳細情報を含む)。もう1つが、crx-to-exe-convert.txt(読み込まれるスクリプトを含む)。
このブラウザ拡張機能を有効にするために、ブラウザは、作成されたコンポーネント「manifest.json」の情報を構文解析する。
ユーザーが Facebook もしくは Twitter にアクセスすると、この拡張機能は裏で特定の Web サイトにアクセスする。この Web サイトはトルコ語で記述されており、「辛辣な言葉」「重い歌詞」「意味のある歌詞」といった意味の言葉が Web ページ上に表示される。これは、クリック詐欺や不正な Web サイトへ誘導といった不正活動の一部だと思われる。
 |
| トルコ語の Web サイト |
トレンドマイクロは、対策として、ソーシャルメディア上で表示されている短縮 URL はクリックしないようにすることや、ブラウザの拡張機能は、公式の Web ストアや信頼のおけるソースからインストールすることを勧めている。
