「Microsoftヘルプ」を悪用する新たな手口が発覚
これまでの攻撃では、悪質なファイルをユーザーにダウンロードさせても直ちに実行させるのが難しかったが、攻撃側はその問題を解消した。
攻撃者がMicrosoftの正規アプリ「Help and Support Center Viewer」を利用し、被害者のシステムで直ちに悪質なコードを実行させる方法を編み出したと、セキュリティ企業の米Symantecが伝えた。
Symantecによると、これまでは攻撃側が悪質ファイルをダウンロードさせることに成功しても、直ちにそれを実行させるのは難しかった。
ところが今回見つかった手口で攻撃側は、Help and Support Center Viewerを利用してこの問題を解消。ActiveXコントロールのファイル上書き/ファイルダウンロードの脆弱性を併用して、直ちに悪質なファイルを実行させるやり方を編み出したという。
具体的な手口としては、まずファイル上書きの脆弱性を突く不正なWebページを作成し、ユーザーをおびき寄せる。ユーザーがこのページを閲覧すると、Help and Support CenterのHTMLファイルが上書きされ、不正動作を実行するスクリプトコードに書き換えられてしまう。
続いて攻撃側は「window.location = hcp://system/sysinfo/sysinfomain.htm」などのwindow.locationメソッドを使い、被害者のブラウザをリダイレクトさせる。「hcp://」リンクを処理するHelp and Support Center Viewerで攻撃スクリプトを処理させ、悪質コードを実行させる。
Help and Support Centerはローカルユーザーの権限でスクリプトコマンドを実行できるため、この手を使えば大量のコンピュータで攻撃を実行することが可能だと、Symantecは警鐘を鳴らしている。
関連記事
- MSの実在担当者をかたる偽メールが出現、月例パッチの公開直前で
実在するMicrosoftのセキュリティ担当者の名をかたり、偽の脆弱性修正プログラムをばらまこうとするスパムメールが見つかった。 - またも「Microsoft Update」に偽サイト、トロイの木馬を誘導
偽のMicrosoftサイトでは、緊急アップデートと称してトロイの木馬をインストールさせようとする。 - Nortonをかたる偽ソフト、正規ブランドを悪用する新たな手口
「Free Norton AntiVirus 08」の広告をクリックすると、悪質ソフトのダウンロードサイトにつながる。 - 「私はウイルス」と名乗るマルウェア、詐欺的ソフトと連動の新たな手口?
「MonaRonaDona」というマルウェアについての報告が最近1週間で激増しているという。 - “遺物的”フロッピーワームが採用した新たな手口
Heikuは機能的にはありふれたワームだが、少し変わっている点があった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.