「Nine-Ball」を使った新手のWebサイト攻撃について、米Websenseが分析結果を公表した。
セキュリティ企業の米Websenseは6月22日、マルウェアの「Nine-Ball」を使ったWebサイト攻撃に関する詳報をブログで公表した。
Websenseは6月初旬に「Nine-Ball」による攻撃を発見し、16日時点で約4万の正規サイトに難読化されたコードが仕掛けられたと伝えていた。その後、感染サイトの数はやや減少。この種の攻撃はいったん表面化すると、攻撃側が手口を切り替えるのが常だという。
感染サイトを国別に見ると、米国が71%と大半を占めている。今のところ大手サイトの感染は見つかっていないという。攻撃側は盗んだFTPのログイン情報を使ってシステムに侵入し、正規サイトのインデックスページに不正コードを挿入しているとみられる。
感染サイトを閲覧したユーザーは、複数のサイトを経由して知らないうちに悪質サイトにリダイレクトされるが、その経路はさまざまで、行き着く先のサイトも複数ある。ただし同じ感染サイトを何度も閲覧すると、2度目以降は悪質サイトにはリダイレクトされないという。
リダイレクト先のサイトでは、Microsoft Data Access Component(MDAC)、AOL SuperBuddy、Adobe Acrobat Reader、QuickTimeなどに存在する既知の脆弱性を悪用。脆弱性を解決していないPCでアクセスすると、情報を盗み出すトロイの木馬などに感染する恐れがある。
Copyright © ITmedia, Inc. All Rights Reserved.