動画配信サイトに紛れ込みOS Xを狙うアドウェア

2014年11月6日

2014年6月、ニコニコ動画からFlash Playerのインストーラーを偽ったファイルをダウンロードするサイトへ誘導される事例がありました。ニコニコ動画の事例はWindowsを狙った攻撃でしたが、別のアニメ動画配信サイトで2014年10月27日、Mac(OS X)を標的とした非常によく似た攻撃が確認されました。

偽プレーヤー for Mac

このアニメ動画配信サイトをMacから閲覧すると、Flash Playerのインストールを促すメッセージが表示されます。

実際の動作画面を見てみましょう:

movie_fakeflash1

図1. 動画を選択すると「Please install Flash Player HD to continue」
(続行するにはFlash Player HDをインストールしてください)というメッセージが現れる

このメッセージは、広告として表示されます。動画を見るために[INSTALL LATER]または[INSTALL]をクリックすると、以下のページが表示されます。

movie_fakeflash2-1

図2. アニメ動画配信サイトとは異なるドメインへ移動。
Flash Playerではなく、Media Playerのインストールを促される

ここで[Install]または[Install Later]を選択すると、「MPlayerX.dmg」がダウンロードされます。このファイルを実行してインストールすると、Macが感染します。

movie_fakeflash3

図3. Macにダウンロードされた「MPlayerX.dmg」

movie_fakeflash4

図4. 「MPlayerX.dmg」を実行したときの画面

ツールのインストール後にSafariの設定を確認したところ、変更点が2つありました。

1つめは、Safariの検索エンジンがGoogleからBingに変更され、Safariを開いたときに表示されるホームページの設定が「http://search.conduit.com/」へ変更されていたことです。

インストール前とインストール後の設定の違いを見てみましょう:

movie_fakeflash5-before

図5. ツールをインストールする前のSafariの設定

movie_fakeflash6-after

図6. ツールをインストールした後のSafariの設定

2つめの変更点は、機能拡張です。インストール前は空だったSafariの機能拡張に、Conduit Searchがインストールされています。同じく、画面で確認してみましょう:

movie_fakeflash7-before

図7. ツールをインストールする前のSafariの機能拡張

movie_fakeflash8-after

図8. ツールをインストールした後のSafariの機能拡張

このように、動画を観ようとしたのに、アドウェアをインストールする結果となってしまいます。

動画を観ようとしたのに、アドウェアをインストールする結果となってしまいます

以下のグラフは、カスペルスキー製品がインストールされたユーザー環境で本アドウェアを検知した数を示したものです。

今回のアニメ動画配信サイトに関しては、2014年10月27日にアドウェア配布サイトへの誘導を確認していますが、検知そのものは2014年9月27日から始まっています。この事実から、別のWebサイトからもこのアドウェア配布サイトへ誘導されていたと推察されます。

movie_fakeflash9

図9. アドウェア検知推移グラフ

このアドウェアの検知を地理情報で確認すると、一番多いのはアメリカでした。また、アメリカほどではありませんが、日本でも同様に検知されていたことがわかります。

ksn2

図10. アドウェア検知地理情報

このマルウェア配布サイトは、本記事の執筆時点ではまだ活動を続けており、警戒が必要です。ツールのインストールを促す表示が出たとしても、インストールしないでください。

カスペルスキー製品では、このアドウェアを「not-a-virus:AdWare.OSX.Vsrch.a」として検知・ブロックします。

movie_fakeflash10

図11. カスペルスキー インターネット セキュリティでの検知画面