FirefoxやChromeブラウザのアップデートを装って、不正ソフトをインストールさせようとする新たな攻撃が確認さた。
攻撃サイトをブロックするFirefoxの能力を利用して、不正なアンチウイルスアプリケーション「Security Tool」が新たなトリックを試みている。同アプリケーションが、商品をプッシュするのにFirefox Update Flash機能を使用したのは、それほど前のことではない。
今回、不用心なユーザーがページにアクセスすると、極めて本物らしく見えるFirefoxのブロックページが表示される。
しかし、これは通常のブロックページではない。Webブラウザをアップデートするため、インストールが行えるダウンロードを提供しているという点で特別なのだ。
素晴らしいでしょう? それで、不用心なユーザーは「ff_secure_upd.exe」をダウンロードし、不正なAV(アンチウイルスソフト)をインストールすることになるかもしれない。
実際は……。スクリプトがWebブラウザで許可されると、「Download Updates!」ボタンをクリックする必要さえない。ただユーザーに不正なAVをオファーするのだ。
そして「Cancel」をクリックしても、それを拒否する。
結局、ユーザーはFirefoxをアップデートすべきということだろうか? そして、同アプリケーションはもう一度ダウンロードする二度目の機会を与える点で寛大だ。
皮肉なのは、同ページが「攻撃ページの中には、故意に有害なソフトウェアを配布しているものもある」という条項を含んでいることだ。「どちらを選択するか、以下のボタンをクリックして下さい」という条項を加えても良かったかもしれない。
新たな素晴らしいトリックだが、かなり姑息だ。そして上手く行くかもしれない。よって、「Firefox」ブロックページを見たら慎重に。本物のページは、ユーザーに何かをダウンロードするよう促したりはしない。以下は、本物のFirefoxブロックページの外観だ。
どこかアラニス・モリセットの歌の1つを思い出させる……。
(追記:)最大限流通させることを目指し、Webサイトは見たところ、「Google Chrome」用のブロックページも用意しているようだ:
今回、不正なAVファイル用に「chrome_secure_upd.exe 」というファイル名を使用している。最後に、別のWebサイトからPhoenixエクスプロイトキットをロードするページ内にiframeがある。
(この追加情報のクレジットは、WebsenseのPatrik Runaldにある。ありがとう、Patrik!)
投稿はChristineおよびMinaによる。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.