正規サイトを改ざんして不正コードを仕掛け、マルウェア感染サイトに誘導する攻撃が、米国でも12日から13日にかけて急増しているという。US-CERTやセキュリティ各社はユーザーに対し、最新パッチ適用などの対策を促している。
この手口では正規サイトにJavaScriptコードを埋め込み、訪れたユーザーを知らないうちに悪質サイトにリダイレクト。既知の脆弱性を突いてマルウェアに感染させる。
米McAfeeは3月12日、1万以上のWebページがハッキングされていると伝え、翌13日には倍増して2万ページになったと報告した。
McAfeeによると、攻撃は1週間ほど前から始まった模様で、改ざんされたのはphpBBを実行しているページが大半だったが、12日以降の攻撃では、Active Server Pagesを使っているページ(.ASP)がハッキングに遭ったという。
リダイレクト先の悪質サイトでは、WindowsやRealPlayerのActiveXの脆弱性を突いて、マルウェアをダウンロードさせる仕掛けになっている。
セキュリティコンサルタントのダンチョ・ダンチェフ氏は12日のブログで、今回の攻撃は、先に見つかったZDNet AsiaとTorrentReactorのハッキングと同じ組織が仕掛けていることが分かったと伝えた。
手口もZDNet Asiaのケースと同様、正規サイトが提供する検索エンジンで、ローカルにキャッシュされ、IFRAMEを挿入されたページを利用。トラフィックを悪質サイトにリダイレクトし、ActiveXオブジェクトを使ってZlobというマルウェアの亜種に感染させる。
改ざんされたサイトの中には、米国の大学や政府機関の公式サイトなども多数含まれるという。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR