報告された攻撃サイト！ セキュリティツールの最新のトリック

FirefoxやChromeブラウザのアップデートを装って、不正ソフトをインストールさせようとする新たな攻撃が確認さた。

[fsecure_response，エフセキュア]

　攻撃サイトをブロックするFirefoxの能力を利用して、不正なアンチウイルスアプリケーション「Security Tool」が新たなトリックを試みている。同アプリケーションが、商品をプッシュするのにFirefox Update Flash機能を使用したのは、それほど前のことではない。

　今回、不用心なユーザーがページにアクセスすると、極めて本物らしく見えるFirefoxのブロックページが表示される。

　しかし、これは通常のブロックページではない。Webブラウザをアップデートするため、インストールが行えるダウンロードを提供しているという点で特別なのだ。

　素晴らしいでしょう？　それで、不用心なユーザーは「ff_secure_upd.exe」をダウンロードし、不正なAV（アンチウイルスソフト）をインストールすることになるかもしれない。

　実際は……。スクリプトがWebブラウザで許可されると、「Download Updates！」ボタンをクリックする必要さえない。ただユーザーに不正なAVをオファーするのだ。

　そして「Cancel」をクリックしても、それを拒否する。

　結局、ユーザーはFirefoxをアップデートすべきということだろうか？　そして、同アプリケーションはもう一度ダウンロードする二度目の機会を与える点で寛大だ。

　皮肉なのは、同ページが「攻撃ページの中には、故意に有害なソフトウェアを配布しているものもある」という条項を含んでいることだ。「どちらを選択するか、以下のボタンをクリックして下さい」という条項を加えても良かったかもしれない。

　新たな素晴らしいトリックだが、かなり姑息だ。そして上手く行くかもしれない。よって、「Firefox」ブロックページを見たら慎重に。本物のページは、ユーザーに何かをダウンロードするよう促したりはしない。以下は、本物のFirefoxブロックページの外観だ。

　どこかアラニス・モリセットの歌の1つを思い出させる……。

（追記：）最大限流通させることを目指し、Webサイトは見たところ、「Google Chrome」用のブロックページも用意しているようだ：

　今回、不正なAVファイル用に「chrome_secure_upd.exe 」というファイル名を使用している。最後に、別のWebサイトからPhoenixエクスプロイトキットをロードするページ内にiframeがある。

　（この追加情報のクレジットは、WebsenseのPatrik Runaldにある。ありがとう、Patrik！）

　投稿はChristineおよびMinaによる。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

セキュリティの最前線はエフセキュアブログで

原文へのリンク