本ブログでは2020年11月19日の記事で、脆弱性攻撃ツール「PurpleFox Exploit Kit(PurpleFox EK)」を使用する攻撃者がCloudflare社の正規サービスを悪用してHTTPS経由でランディングページを拡散することで、セキュリティソリューションによる検知を回避していることをお伝えしました。PurpleFoxの背後にいる攻撃者は最新のセキュリティアップデートで一般公開された脆弱性を攻撃手口に取り入れてPurpleFoxの攻撃チェーンを高度化させてきましたが、今回トレンドマイクロでは、近年確認されたPurpleFoxが拡散手法を高めるために古い手法を追加していることを発見しました。本記事で解説するPurpleFox EKは、「wpad」ドメインを使ってWebプロキシの自動検出機能である「WPAD」(Web Proxy Auto-Discovery)を悪用する攻撃手法により、ユーザの利用端末を誘導します。このようなWPAD機能を悪用する手法は約14年前から確認されており、この攻撃を防ぐための取り組みも行われていますが、いまだに有効な攻撃手法である場合があります。WPAD機能ではWebプロキシの設定を任意の場所に設置された設定ファイルから取得します。今回の事例でPurpleFoxは「wpad.id」ドメインに不正な設定ファイルを設置し、取得させる手口を使っていました。「.id」はインドネシアの国別トップレベルドメインであることから、インドネシアの利用者が被害に遭う可能性が高かったものと言えます。トレンドマイクロは、この「wpad.id」ドメインにアクセスした被害者の検出状況を確認するために調査を開始しました。当該調査時点では、他の国のトップレベルドメインにおける影響被害は確認されませんでした。攻撃者はこの手法を用いることで、システム起動時にユーザによる入力情報がなくてもWPAD機能を悪用して設定したURLにアクセスさせることができるため、ゼロクリック攻撃の実装が可能になります。
