Facebookユーザーを狙うマルウェアが登場、10万人が感染 - パロアルトN

Filmkanを分析した結果、以下の4つのコンポーネントで構成されていることがわかった。

Windows実行可能ファイル・ドロッパー(AutoHotkeyベース)
Wget for Windows実行可能ファイル(正規)
悪意のあるGoogle Chrome拡張機能
攻撃者のサーバから配信される動的なJavaScriptコード

Filmkanの作成者は、Windowsアプリケーション作成用の正規ツールであるAutoHotkey (AHK)を使用して、カスタム スクリプトを使用してドロッパーを作成している。AHKスクリプトは、スクリプト・コードを解釈するバイナリにコンパイルされるため、すべてのWindowsシステムに移植可能。Filmkanバイナリに含まれるAHKスクリプトにはデバッグ文字列が多数含まれている。

AHKスクリプトには、以下のような機能がある。

システム上にGoogle Chromeがインストールされているかどうか確認する
Google Chromeがインストールされていない場合はインストールし、デスクトップにショートカットを追加する
Application Dataディレクトリにドロッパー・バイナリを「Chromium.exe」