ネット上のWebサイト多数に不正スクリプトが埋め込まれているのが見つかったと、SANS Internet Storm Centerが伝えている。Websenseは7日、トルコのMSNBCサイトにもこの不正スクリプトが挿入され、ユーザーをマルウェアに感染させていると報告した。
SANSによると、問題の不正スクリプトは「yl18.net」というアドレスが含まれ、難読化され見えにくくした形で埋め込まれているという。6日現在で150ドメインのWebサイト4万ページ以上にこのスクリプトが仕掛けられているのが見つかった。
このスクリプトは複数の隠しiframeコンポーネントを含んだページを生成し、各ブラウザごとの脆弱性悪用コードを仕掛けたページに誘導する。ユーザーのシステムに脆弱性があると、このコードによって実行可能ファイルが実行され、マルウェアがダウンロードされる。
不正スクリプトはSQLインジェクションやクロスサイトスクリプティング(XSS)攻撃を通じてさまざまなサイトに挿入されたとみられる。
yl18.netをホスティングしているサーバはまだ生きていて、悪質コードを供給しているという。SANSでは、可能であればゲートウェイでyl18.netへのトラフィックを遮断するよう促している。
一方Websenseは、トルコのMSNBCサイトに問題の不正コードが挿入され、外部のJavaScriptファイル経由でサイトを訪れたユーザーをマルウェアに感染させていることが分かったと伝えた。このファイルは、中国でホスティングされている悪質なJavaScriptコードを含んでいるという。
ユーザーが同サイトを訪れると、ブラウザに応じた脆弱性が悪用される仕組みになっており、ユーザーのシステムに脆弱性があると、ユーザーが何も操作しなくてもパスワードを盗み出すコードがインストールされ、実行されるという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR