ウイルス対策ベンダー ESET のセキュリティ研究者は、マウス カーソルの動きをチェックすることで URL セキュリティ スキャナーを回避しようとする新しい Web ベースのマルウェア攻撃を発見しました。
この新たなドライブバイダウンロード攻撃はロシアのウェブ空間で確認されたもので、ユーザーの操作を必要とせずにコンピューターにマルウェアを感染させます。(「Windows PCからマルウェアを削除する方法」も参照してください。)
この種の攻撃の多くは、正規のウェブサイトに隠されたiframeを挿入し、訪問者を実際の攻撃ページへリダイレクトするという手法を用いています。しかし、今回の新たな攻撃キャンペーンの影響を受けるウェブサイトには、そのような不正な要素は見られません。
代わりに、不正なJavaScriptコードがローカルのJavaScriptファイルに追加され、すべてのHTMLページの「head」セクションに読み込まれるため、感染の発見が困難になっていると、ESETのセキュリティ研究者は金曜日のブログ投稿で述べています。このような方法でJavaScriptを読み込むことは非常に一般的な手法であり、特に侵害を示すものではありません。
これらのローカルJavaScriptファイルに挿入されたコードは、ページ上でマウスカーソルの動きが検出された場合にのみ、外部から別のJavaScriptファイルを読み込みます。マウスの動きを検出する機能は、セキュリティ企業や検索エンジンが感染したウェブサイトを検出するために使用するURLスキャナーやWebクローラーを除外することを目的としています。
これは単純な手法だが、サイバー犯罪者が人間の訪問者と自動ボットを区別するより積極的な方法を模索していることを示唆している。そうすることで、攻撃をより長期間検知されずに済むと、ESETの研究者らは述べている。「ドライブバイダウンロード攻撃が、実際のユーザー活動を検知し、マルウェア収集システムを回避するための積極的な手法を用いた悪意のあるコードを含むようになるのは、自然な進化と言えるでしょう。」
チェックによってリクエストが人間からのものであると判断された場合、外部の JavaScript コードは、即座に元の HTML ページに iframe を挿入し、Nuclear Pack エクスプロイト ツールキットのインストールから攻撃コードを読み込みます。
ほとんどのドライブバイダウンロード攻撃ツールと同様に、Nuclear Pack は、Java、Adobe Reader、Flash Player などのパッチ未適用のブラウザプラグインに存在するリモートコード実行の脆弱性を悪用し、被害者のコンピュータにマルウェアを感染させようとします。
この場合、Nuclear Pack のインストールは、2 月に Windows 版 Java で修正され、先週 Mac 版 Java で修正された CVE-2012-0507 Java 脆弱性、および CVE-2010-0188 として識別される Adobe Reader のかなり古い脆弱性を悪用しようとします。
セキュリティ専門家は、ユーザーはウェブを閲覧する際にブラウザのプラグインが常に最新であることを確認し、コンピューターで常にウイルス対策プログラムを実行するべきだとアドバイスしている。
