Webブラウザの更新を検討しているユーザは、正規の配信元から必ずブラウザの更新版をダウンロードするべきです。さもないと、更新版を装った不正プログラムがコンピュータにダウンロードされてしまう恐れがあります。
「TrendLabs(トレンドラボ)」は、2012年11月下旬、いくつか例を挙げると “Firefox”、”Google Chrome” および “Internet Explorer(IE)” などの Webブラウザの名前を用い、これらブラウザの更新版の提供を装った複数の Webサイトについて報告を受けました。ユーザは、不正な広告をクリックすることで、これらの Webサイトに遭遇することとなります。
このような不正活動を企むサイバー犯罪者は、この企みが正規のものに見せかけるように取り組みました。これらの Webサイトは、図1のように、あたかもブラウザの公式サイトであるかのように作られていました。さらに、Webサイトは、ユーザがこの偽の更新版をダウンロードするよう促すために、ブラウザと一緒にセキュリティソフトも提供するかのように装います。
 |
|
|
しかしユーザは、更新版ではなく、実際には不正プログラム(「JS_DLOADR.AET」として検出)をダウンロードしてしまうこととなります。このダウンロードした不正プログラム「JS_DLOADR.AET」は、ダウンロードしたバイナリを変更し、異なる不正活動を持つ機能を備えています。
この不正な JavaScript「JS_DLOADR.AET」は、次に「TROJ_STARTPA.AET」をダウンロードし、「<ブラウザがダウンロードされるパス名>\install.exe」として保存します。トレンドラボの最初の解析では、「TROJ_STARTPA.AET」は、ユーザの IE のホームページを「http://<省略>rtpage.com」に変更することを解明しています。ホームページとして設定されたこの Webサイトは、他の不正なファイルが組み込まれており、ユーザのコンピュータにさらなる感染被害をもたらす可能性があります。
トレンドマイクロの Bob Pan は、モバイル端末を介してこれらの関連サイトへのアクセスを試みました。しかし、コンピュータを介してダウンロードしたファイルと同じファイルは、Androidのバージョンが2.3以上の端末を使用した場合はダウンロードされましたが、それ以外の多くの場合、すぐにエラーが発生するという結果となりました。
トレンドラボでは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」からのフィードバックから、2012年11月23日の時点において、フランスが最も感染数が多く、続いて米国、スペインとなっていることを明らかにしています。
| 国 | 感染数 |
| フランス | 561 |
| 米国 | 473 |
| スペイン | 192 |
| メキシコ | 48 |
| オーストラリア | 22 |
ソフトウェア企業は、ユーザが最新の機能や改良版を得ることができるよう定期的に更新版を公開しています。しかし残念なことに、サイバー犯罪者は、ソーシャルエンジニアリングの手口としてこの機会を利用することで、ユーザに不正プログラムをダウンロードするよう促します。サイバー犯罪者は、偽サイトを本物のサイトとまったく同じように見えるよう試行錯誤しているため、ソフトウェア企業が行う定期的な更新版の公開も有効ではありません。トレンドラボでは、10月中旬、Adobe の偽更新版(「TSPY_FAREIT.SMC」として検出)の提供を装う正規の Webサイトに見せかけた事例について報告しています。
この策略を回避するに、ユーザは正規の配信元やソフトウェア企業の公式Webサイトのみから更新版をダウンロードしてください。また多くのブラウザは、自動更新機能が組み込まれています。この他、ユーザは、安易に広告をクリックしたり、未知の Webサイトにアクセスすることは控えてください。
「Trend Micro Smart Protection Network」は、関連する不正な URL をブロックすることによって、この脅威からユーザを保護します。また、ユーザのコンピュータ内で「JS_DLOADR.AET」や「TROJ_STRATPA.AET」といった関連する不正プログラムを発見した場合、検出および削除します。
参考記事:
by Roddell Santos (Threats Analyst)
翻訳:栗尾 真也(Core Technology Marketing, TrendLabs)