ニュース
» 2010年10月22日 11時49分 公開

報告された攻撃サイト! セキュリティツールの最新のトリック

FirefoxやChromeブラウザのアップデートを装って、不正ソフトをインストールさせようとする新たな攻撃が確認さた。

[fsecure_response,エフセキュア]

 攻撃サイトをブロックするFirefoxの能力を利用して、不正なアンチウイルスアプリケーション「Security Tool」が新たなトリックを試みている。同アプリケーションが、商品をプッシュするのにFirefox Update Flash機能を使用したのは、それほど前のことではない。

 今回、不用心なユーザーがページにアクセスすると、極めて本物らしく見えるFirefoxのブロックページが表示される。

 しかし、これは通常のブロックページではない。Webブラウザをアップデートするため、インストールが行えるダウンロードを提供しているという点で特別なのだ。

 素晴らしいでしょう? それで、不用心なユーザーは「ff_secure_upd.exe」をダウンロードし、不正なAV(アンチウイルスソフト)をインストールすることになるかもしれない。

 実際は……。スクリプトがWebブラウザで許可されると、「Download Updates!」ボタンをクリックする必要さえない。ただユーザーに不正なAVをオファーするのだ。

 そして「Cancel」をクリックしても、それを拒否する。

 結局、ユーザーはFirefoxをアップデートすべきということだろうか? そして、同アプリケーションはもう一度ダウンロードする二度目の機会を与える点で寛大だ。

 皮肉なのは、同ページが「攻撃ページの中には、故意に有害なソフトウェアを配布しているものもある」という条項を含んでいることだ。「どちらを選択するか、以下のボタンをクリックして下さい」という条項を加えても良かったかもしれない。

 新たな素晴らしいトリックだが、かなり姑息だ。そして上手く行くかもしれない。よって、「Firefox」ブロックページを見たら慎重に。本物のページは、ユーザーに何かをダウンロードするよう促したりはしない。以下は、本物のFirefoxブロックページの外観だ。

 どこかアラニス・モリセットの歌の1つを思い出させる……。

(追記:)最大限流通させることを目指し、Webサイトは見たところ、「Google Chrome」用のブロックページも用意しているようだ:

 今回、不正なAVファイル用に「chrome_secure_upd.exe 」というファイル名を使用している。最後に、別のWebサイトからPhoenixエクスプロイトキットをロードするページ内にiframeがある。

 (この追加情報のクレジットは、WebsenseのPatrik Runaldにある。ありがとう、Patrik!)

 投稿はChristineおよびMinaによる。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

セキュリティの最前線はエフセキュアブログで

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ