ウイルス対策会社カスペルスキー研究所のセキュリティ研究者によると、ドライブバイダウンロード攻撃により、ロシアの人気ニュースサイト訪問者のコンピューターに、影響を受けるシステムにファイルを作成しない、検出が難しいマルウェアが投下されたという。
ドライブバイダウンロード攻撃は、Web経由でマルウェアを拡散させる主要な手法の一つです。通常、古いソフトウェア製品の脆弱性を悪用し、ユーザーの操作を必要とせずにコンピュータに感染させます。
Kaspersky Lab の研究者は最近、ロシアの通信社 RIA ノーボスチのウェブサイト www.ria.ru と、ロシア語の人気オンライン新聞 www.gazeta.ru の訪問者に対する同様の攻撃を調査しました。
攻撃コードは既知のJava脆弱性(CVE-2011-3544)を悪用するエクスプロイトをロードしましたが、影響を受けたウェブサイト自体にはホストされていませんでした。代わりに、AdFoxと呼ばれるサードパーティの広告サービスによって表示されるバナーを通じて訪問者に配信されていました。
この特定の攻撃に関して興味深いのは、攻撃が成功した場合にインストールされるマルウェアの種類、つまりコンピューターのメモリ内にのみ存在するマルウェアです。
「このようなエクスプロイトの動作には、悪意のあるファイル(通常はドロッパーまたはダウンローダー)をハードドライブに保存することが含まれます」と、カスペルスキー研究所の専門家セルゲイ・ゴロバノフ氏は金曜日のブログ投稿で述べています。「しかし、今回のケースでは驚くべき結果となりました。ハードドライブに新しいファイルは何も現れなかったのです。」
Javaエクスプロイトのペイロードは、正規のJavaプロセスにロードされ、即座にアタッチされる不正なDLL(ダイナミックリンクライブラリ)で構成されていました。このタイプのマルウェアは稀で、システムの再起動とメモリのクリアによって消滅します。
しかし、ほとんどの被害者が感染したニュースサイトを再度訪問する可能性が非常に高いため、今回の攻撃の背後にいるサイバー犯罪者にとってはこれは問題ではなかったとゴロバノフ氏は述べた。
メモリにロードされた悪意のあるDLLはボットとして動作し、HTTP経由でコマンド&コントロールサーバーにデータを送信し、そこから命令を受信します。攻撃者から送られた命令の中には、侵入先のコンピュータにオンラインバンキング型トロイの木馬をインストールするというものもありました。
「今回の攻撃はロシアのユーザーを標的としていました。しかし、同じエクスプロイトとファイルレスボットが世界の他の地域の人々にも使用される可能性も否定できません。他の国でも同様のバナーやティーザーネットワークを通じて拡散される可能性があります」とゴロバノフ氏は述べた。
この種の攻撃に対する最善の防御策は、コンピュータにインストールされているソフトウェア、特にブラウザとそのプラグインを最新の状態に保つことです。未知の脆弱性を狙ったエクスプロイトが使用される場合に備えて、Webトラフィックをスキャンし、攻撃コードを汎用的に検出できるウイルス対策製品を実行することが最善です。
ゴロバノフ氏は、この種の「ファイルレス」マルウェアがメモリにロードされ、信頼できるプロセスに付着すると、ウイルス対策プログラムで検出するのがはるかに難しくなるため、初期段階で感染を阻止することが理想的だと述べた。
