トレンドマイクロは、2014年7月、米国のデザイン・テクノロジー系ブログサイト「Gizmodo」のブラジル版が、攻撃者によって改ざんされていたことを確認しました。この攻撃者は、Gizmodo のメインページを改ざんして、スクリプトを追加しました。このスクリプトにより、ユーザは改ざんされた別の Webサイトに誘導されます。この Webサイトは、スウェーデンのサーバにホストされており、ドメインの TLDには「.se」が利用されていました。攻撃者はまた、このスウェーデンにホストされている Webサイトに、WebShellコードをアップロードし、このサーバを制御し続けることを可能にしました。
改ざんされた Webサイトにアクセスすると、不正な URL が読み込まれます。この URL は、ポルトガル語で書かれた偽の Adobe Flash Player のダウンロードページを表示します。
 |
実際は、このファイルは、「BKDR_GRAFTOR.GHR」として検出されるバックドア型不正プログラムです。なお、Flash Player の最新バージョンは、14.0.0.145 であり、このページに表示されるバージョンとはまったく異なっていることにご注意下さい。
このバックドア型不正プログラムは、Google ドライブにアップロードされています。2014年7月31日現在、この不正プログラムをダウンロードしようと試みると、ダウンロードの上限に達したとのメッセージが表示されます(図2)。
 |
攻撃者は、ダウンロードされるファイルが不正なものではないとユーザに思わせるため、正規のサービスを利用したと弊社は考えています。弊社の調査によると、ある物流企業の Webサイトも、同様の手法で改ざんされていることが判明しました。Gizmodo のブラジル版および、この物流企業の Webサイトはいずれも、ブラジル最大手のインターネットサービスプロバイダ(ISP)兼コンテンツプロバイダの「UOL」にホストされています。弊社では現在、Webサーバへの侵入に脆弱性利用があったかを調査しています。
弊社は、Gizmodo のブラジル版に今回の脅威を報告し、改ざんされたコードは直ちにサーバから削除されました。また、この不正なファイルが Google ドライブにアップロードされていることを Google にも報告し、削除できるようにしました。
トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。
参考記事:
by Fernando Merces (Senior Threat Researcher)
翻訳:品川 暁子(Core Technology Marketing, TrendLabs)