Webを踏み台に、Apacheを狙う不正モジュール「Darkleech」の被害拡大

「マルウェア配布の手段として、サーバを改ざんする手口は非常に人気が高まっている」とセキュリティ企業のESETは指摘する。

» 2013年07月05日 07時35分 公開
[鈴木聖子,ITmedia]

 悪質なApacheのモジュールをWebサーバに仕込み、Webサイトを閲覧したユーザーをマルウェア感染サイトに誘導する攻撃が続いているという。セキュリティ企業のESETは7月2日、これまでに4万を超すIPアドレスやドメインがこの攻撃に使われたと伝えた。

 同社のブログによると、この攻撃には「Darkleech」という悪質なApacheモジュールの亜種が使われている。このモジュールを仕込まれたWebサーバでホスティングされているWebサイトをユーザーが閲覧すると、IFRAME経由で悪質なURLからのコンテンツが読み込まれる。

Web改ざんからマルウェア感染までの流れ(ESETより)

 ESETの集計では、先週だけで少なくとも270のWebサイトがこの手口でユーザーを不正なサイトにリダイレクトしていたという。

 リダイレクト先サイトには、WebブラウザやJava、Adobe Readerといったプラグインの脆弱性悪用を試みるエクスプロイトキット「Blackhole」が仕掛けられており、さまざまなマルウェアがダウンロードされてしまう恐れがある。

 中でも「Nymaim」というランサムウェアに感染すると、コンピュータが使えない状態にされ、300ドルの身代金を要求されるという。

 この攻撃は、少なくとも2011年2月ごろから発生していたといい、ESETの集計によれば、これまでに攻撃に利用されたIPアドレスやドメインは4万を超す。このうち1万5000は2013年5月の時点でBlackholeが仕掛けられていたという。

 攻撃者は、多くのWebホスティング企業がネットワークなどの管理に使っているサーバコントロールパネルの「CPanel」や「Plesk」を制御することによって、こうしたIPやドメインを操っているとESETは解説する。

 悪質なApacheモジュールはDarkleechのほかにも報告されているといい、「マルウェア配布の手段として、サーバを改ざんする手口は非常に人気が高まっているようだ」とESETは警告している。

関連キーワード

Web | Apache | マルウェア | 改ざん


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ