セキュリティ企業F-Secureは本日、新たなマルウェア攻撃キャンペーンがFirefoxとChromeで共通して表示される「悪質サイト」の警告を悪用し、何も知らないユーザーを騙して不正なウイルス対策アプリケーションをダウンロードさせようとしていると報告した。
この攻撃は、ウェブユーザーが「SecurityTool」という、ウイルス対策ソフトを装った既知のマルウェアアプリケーションを提供するページにアクセスした際に発生します。FirefoxとChromeの両方で、疑わしいサイトにアクセスしたユーザーに表示されるメッセージを模倣した偽の警告ページがポップアップ表示されます。
Firefox では、警告アラートのタイトルは「攻撃ページが報告されました!」ですが、Chrome では、ページには「警告: このサイトにアクセスすると、コンピュータに損害を与える可能性があります!」と表示されます。どちらの警告も、ユーザーに「更新プログラムをダウンロード」するように促します。
ダウンロード ボタンをクリックすると、Firefox では「ff_secure_upd.exe」、Google ブラウザでは「chrome_secure_upd.exe」というファイルがダウンロードされます。いずれの場合も、実際にダウンロードされるのは不正なウイルス対策ファイルと、保護機能と称されるもののライセンス料を支払うように求めるメッセージです。
スクリプトを有効にしているFirefoxユーザーは、「アップデートをダウンロード」ボタンをクリックする必要すらなく、「Firefoxのセキュアアップデート」をダウンロードするには「OK」をクリックするよう促されるだけです。F-Secureの報告によると、「キャンセル」をクリックしても、アップデートをダウンロードする必要があるという警告が繰り返し表示されるだけです。
セキュリティ研究者は、「スケアウェア」に加えて、攻撃の一部である隠されたiFrameが別のサイトからPhoenixエクスプロイトキットをロードし、それによってユーザーがさらなる悪用にさらされる可能性があると指摘した。
偽の「更新しました」
この最新の攻撃は 7 月に発見された攻撃と非常によく似ており、SecurityTool は同様の手法を使用して Firefox ユーザーに Adobe Flash Player を更新するよう促したとされています。
このケースでは、Firefoxの「更新済み」ページの偽バージョンがユーザーに表示されました。これは通常、アップデートをダウンロードした後、ユーザーが初めてブラウザを開いた際に表示されるものです。しかし、F-Secureによると、この偽バージョンではAdobe Flash Playerがまだ更新されていないという警告メッセージが提示され、実際には偽のウイルス対策ソフトウェアであるファイルをダウンロードするようユーザーに促していました。
しかし、新しい「攻撃ページが報告されました!」という警告は、Firefoxユーザーが本物の警告ページがどのようなものかよくわからないという状況に大きく依存しています。実際、そのような警告ページはユーザーにアップデートのダウンロードを要求することはなく、サイトを離れるか、ブロックを無効にしてページを読み込み続けるかの選択肢を提示するだけです。F-Secureのブログ記事には、信頼できる画像を求めるユーザーのために、本物のFirefoxブロックページが掲載されています。
NoScriptが役に立つかもしれない
F-Secureの報告では、この攻撃がWindowsに特有のものなのか、それともすべてのプラットフォームのユーザーに影響を与えるものなのかは明らかではありません。この件についてF-Secureに連絡を取り、詳細が分かり次第、改めて報告します。
その間、ユーザーはブラウザとセキュリティソフトウェアを常に最新の状態にしておく必要があります。この場合、NoScriptのような無料のFirefoxアドオンも脆弱性の悪用を防ぐのに役立つ可能性があります。
Twitterでキャサリン・ノイズをフォローしてください:@Noyesk。
