パロアルトネットワークスは、Facebookの投稿を通じて配布されているマルウェアの分析結果を公開した。PCがマルウェアに感染したユーザーは10万人ほどになるという。

このマルウェアの公式名はないが、コマンドやコントロールに使用されているドメインにちなんで同社では「Filmkan」と呼んでいる。Filmkanを使って攻撃する意図は明らかになっていないが、作成者は短期間に大規模なボットネットを構築している。

作成者については、トルコに関係が高い人物であると推測している。「トルコ語で書かれたコメントが数多く含まれている」「コマンドやコントロールに使用されているドメインはトルコ企業を通じて登録されている」「攻撃に関わるソーシャル・ネットワーク・プロファイルは、トルコの利用者のもの」であることがわかっている。

感染までの流れは、攻撃者がFacebook上にアダルトビデオが見られることを示す内容とリンクを投稿する。投稿をを見た利用者がリンクをクリックすると、「ビデオを再生するためにFlash Playerの更新プログラムをダウンロードする必要がある」と促される。このプログラムは正規のFlash Playerを偽ったFilmkanのインストーラーで、実行ファイルをダウンロードしてインストールすると感染する。

Filmkanは、Facebookのコミュニティページにおいて、特定の投稿に「いいね!」を付けるようにユーザーのFacebookアカウントに強制していた。投稿によっては10万個を超える「いいね!」が押されていた

Filmkanを分析した結果、以下の4つのコンポーネントで構成されていることがわかった。

  • Windows実行可能ファイル・ドロッパー(AutoHotkeyベース)

  • Wget for Windows実行可能ファイル(正規)

  • 悪意のあるGoogle Chrome拡張機能

  • 攻撃者のサーバから配信される動的なJavaScriptコード

Filmkanの作成者は、Windowsアプリケーション作成用の正規ツールであるAutoHotkey (AHK)を使用して、カスタム スクリプトを使用してドロッパーを作成している。AHKスクリプトは、スクリプト・コードを解釈するバイナリにコンパイルされるため、すべてのWindowsシステムに移植可能。Filmkanバイナリに含まれるAHKスクリプトにはデバッグ文字列が多数含まれている。

AHKスクリプトには、以下のような機能がある。

  • システム上にGoogle Chromeがインストールされているかどうか確認する

  • Google Chromeがインストールされていない場合はインストールし、デスクトップにショートカットを追加する

  • Application Dataディレクトリにドロッパー・バイナリを「Chromium.exe」としてコピーする

  • システムの起動時にChromium.exeを開始するための実行キーを設定する

  • chromenet.exeとChromium_Launcher.exeという名前のファイル(おそらく、ドロッパーの旧バージョン)を削除する

  • バイナリから正規の実行可能ファイルwget.exeをインストールする

  • 更新された実行可能ファイルがないかどうか3つのコマンドおよびコントロール・サーバを確認する

  • 更新された実行可能ファイルがあればダウンロードして置き換える

  • コマンドおよびコントロール・サーバからダウンロードされたコンテンツを含む悪意のあるChromeプラグインをインストールする。