ドライブバイを促すサブスクリプション更新スパム


By アンドリュー・ブラント / Andrew Brandt

ユーザーの皆様へ: ロシアのマルウェア開発者が、Best Buy によるウェブルート製品のサブスクリプション更新確認を装ったスパム メッセージをばらまいている疑いがありますのでご注意ください。

メッセージ内のリンク テキストは、ドライブバイ ダウンロードを行う Web サイトにつながっています。絶対にこのリンクをクリックしないでください。サブスクリプションについてご不明な点がある場合は、サポートまでお問い合わせください

このスパム送信者はいろいろと準備をしたようですが、十分ではなかったようです。Best Buy は現在、オンライン ソフトウェア サブスクリプション サービスを通してウェブルート製品を販売しています。スパム送信者へ: ウェブルートの商標を乗っ取ろうとしても、できるのは正しい製品名を知ることくらいなので、無駄なことはしないように。Best Buy では、「Webroot Spysweeper with Antivirus Product」という名前の製品は販売していません。ウェブルートも同じです。

サブスクリプションが更新されたと主張するこのメール メッセージには、無効なシリアル番号と 7 月 17 日という取引日付が記載されています。

このメッセージ内のリンクは、ハッキングされたニュージーランドの小さな民宿の Web サイトにつながっています。ウェブルートは既に、この Web サイトの所有者にスパム行為が行われていることを伝え、スパム メッセージでリンクされているページの削除を依頼しました。
攻撃が失敗に終わり、マルウェアの作者の繊細な心はさぞかし傷付いたのではないかと思います。とても残念です。

仮にリンクをクリックしたとすると、次のようなページが表示されます。

このページは次の 2 つの操作の実行を試みます。yummyeyes.ru ドメインを起点とするスクリプトを読み込み、spruceteam.com がホストしている偽の Canadian Pharmacy の薬品販売ページをブラウザーで開きます。

yummyeyes のスクリプトは一見何もしていないように見えますが、裏で悪事を働いています。Java VM と Adobe Reader をターゲットにして、さまざまな脆弱性を攻撃します。このページは難読化した多数の JavaScript だけでなく、サーバーに存在しない Java アプレットを読み込ませようとする別のページや悪意のある PDF をプッシュします。
JavaScript の難読化を解除すると、攻撃者の程度がよくわかります。攻撃者は変数に「3.13.37」 (31337 → eleet → elite) という値を設定しています。本当ですよ。

これはとても典型的な l33t (Leet、リート。elite から派生した俗語) ですが、間抜けな ID-10T (idiot) エラーを呼び出します。

また、「hcp://” protocol vulnerability」プロトコルの脆弱性の使用も実に風変わりです。生のコードの状態はあまり見られたものではありません。

ただし、スクリプトの下の方は、2 桁の 16 進数でエンコードされた記号をすべて削除すればきれいに整頓されています。おや、スクリプトに何か埋め込まれているようです。鏡に映して逆から書いた URL でしょうか。

この百万年の間、これが blockoctopus.ru を指していることに気付いた人はいなかったでしょう。誰も気付かなかったということは、すべての人が気付かなかったということです。以上、間抜けな犯罪行為で無駄に使われたリート コーディング スキルの例をご紹介しました。

ウェブルートは、典型的なウイルス対策偽装製品と思われるデータを取得しています。次の定義ファイルのアップデートで、この攻撃とペイロードに関与するドメインはブロックされます。

wordpress blog stats