WordPress等のウェブサイトプラットフォームでChrome等のアップデートを偽装したマルウェア配布

2018年4月16日

ニュースソース:MalwarebytesLABS Blog

以下は、2018年4月10日に公開された、‘FakeUpdates’ campaign leverages multiple website platformsを要約したものです。


WordPress、Joomla、SquareSpaceをベースにしたサイトが、Firefox、Chrome、Flash Playerのアップデートを偽装したマルウェア配布に利用されています。

このマルウェア配布は少なくとも2017年12月から続いており、盛んに行われています。
悪質な攻撃者たちは、アップデートのダウンロード要求をコンテンツ管理システムのJavaScriptファイルに、またはサイトのホームページに直接トリガするJavaScriptを組み込んでいます。
我々の推定では、何千ものWordPressとJoomlaサイトと、900を超えるSquareSpaceサイトに悪質なスクリプトが注入されています。

攻撃者は組み込みが目立たないようにさまざまな手法を使用しています。

  • 静的解析を非常に困難にし、バーチャルマシンやサンドボックスを回避するために設計された重要なフィンガープリントを隠すために、悪質なスクリプトやマルウェアへのリンクを難読化します。
  • 一部の配信されたマルウェア(ChtonicバンキングマルウェアまたはNetSupport Remote Access Tool)はデジタル署名され、さまざまな回避手法を使用してサンドボックスを無効にします。
  • 悪質なスクリプトは、使用するシステムやブラウザに応じて、訪問者をテンプレートダウンロードページにリダイレクトし、IPアドレスごとに1回だけ実行して、定期的な訪問者が不審を感じる可能性を最小限に抑えます。

このキャンペーンは、ソーシャルエンジニアリングを活用し、正当なファイルホスティングサービスを悪用する配信メカニズムに依存しています。
「餌」ファイルは悪意のある実行可能ファイルではなくスクリプトで構成されており、難読化とフィンガープリントが使われています。

感染したWebサイトは、ユーザーをリダイレクトするだけでなく、偽の更新計画を告知するために悪用され、所有者はマルウェア配布に参加させられていることに気づいていない場合がほとんどです。