Coca-Cola のサイトの画像を流用してドライブバイ ダウンロードへと導くフィッシング


By アンドリュー・ブラント / Andrew Brandt

ほんの数か月前であれば、マルウェア開発者は、さまざまな苦労の跡が感じられる、巧妙で手の込んだ Web ページを自ら用意してユーザーをだましていました。動画が埋め込まれたページだと思い込ませ、動画を見るために Adobe Flash の更新が必要だという気にさせるという手口です。

しかし、そんな努力は過去の思い出になっているようです。今や、このようなものが出現しました。

最近目を引かれたある攻撃の事例では、敵は巧妙な Web ページの作成という面倒な手間をかけませんでした。過去に我々が見てきたような、洒落たグラフィック、スマートなデザイン、興味深いプログラミングといった類のものは一切ありません。そもそも、Web ページの作成をほとんど行っていないのです。

この事例で正体不明の敵が作成したのは、他人の手による画像を読み込む HTML ファイルです。よそのサイトに置かれた、Flash のバージョンが古いという警告の画像を場当たり的に使用しています。具体的に言うと、この攻撃者がたまたま使用しているのは、The Coca-Cola Company の Web サーバーにある画像です。これは、同社を標的としたサイト ハッキングではありません。同社の Web サイトが Flash を多用していることから考えて、画像はおそらく正規の本物です。マルウェア開発者の中には、これほどまでの異常な怠け者や無能者がいるという見本です。

ハッキングそのものはきわめて初歩的です。 悪質なドメインのページを開くと、前述の画像が表示されます。この画像をクリックすると、adobe_flash_update.exe というファイルがブラウザーでダウンロードされます。本物の Adobe Flash のアップデーターでは、更新処理にこの名前のファイルは使用しないということは置いておきましょう。


また、画像をクリックしなかったとしても安心はできません。 このページは、ロシアの Lunchstroke.ru というドメインのポート 8080 で動作する Web サーバーから、1 ピクセル四方のインライン フレームを読み込むようになっています。こちらのサイトでは、別のマルウェア ペイロードのドライブバイ ダウンロードが実行されます。

この 2 種類の攻撃で用いられるペイロードは、広く出回っている Trojan-Backdoor-Zbot です。包括的なパスワード盗難を行い、ボットネット クライアントとして動作します。場当たり的で粗雑な、気合いのない攻撃の割には、配布するマルウェアは悪質です。そして不幸にも、この攻撃は、標的の一部に実際に被害をもたらした可能性が大です。弱肉強食のマルウェアの世界でソーシャル エンジニアリングが相変わらず君臨していることが、改めて実証されました。

wordpress blog stats