シスコは月曜日、YouTube、Amazon、Yahooなどのウェブサイトに悪質な広告が出現していると発表した。これはマルウェアを拡散させるための巧妙なキャンペーンの一環である。
脅威研究者のアーミン・ペルクマン氏は、この悪質な広告に遭遇すると、ユーザーは別のウェブサイトにリダイレクトされ、コンピューターがWindowsを実行しているか、それともAppleのOS Xを実行しているかに基づいてダウンロードが開始される、と書いている。
ペルクマン氏の記事によると、このネットワークは、攻撃者がマルウェアを配布するために開設した700以上のウェブサイトのサブドメインにこれらの名前が登場するため、「カイルとスタン」というニックネームが付けられているという。
「ドメインの数が多いと、攻撃者は特定のドメインをごく短期間だけ使用し、それを使い切ってから、将来の攻撃に別のドメインを使用することが可能です」と彼は書いている。「これにより、レピュテーションやブラックリストに基づくセキュリティソリューションを回避することができます。」
シスコシステムズ社によると、74のウェブサイトが、WindowsまたはAppleのOS Xオペレーティングシステム向けのマルウェアにユーザーを誘導する悪質な広告を掲載していたという。(クリックして拡大)
シスコは、悪質な広告を配信している広告ネットワークを特定していません。広告ネットワークは悪質な広告をフィルタリングするよう努めていますが、時折、悪質な広告が紛れ込んでしまうことがあります。これは、トラフィックの多いサイトの場合、潜在的な被害者が膨大になることを意味します。
ペルクマン氏によると、悪質な広告の一部はyoutube.com、amazon.com、ads.yahoo.comに掲載されていたという。合計で74のドメインで広告が掲載されていた。
被害者が広告によってリダイレクトされると、コンピュータは固有のチェックサムを持つマルウェアをダウンロードします。これにより、セキュリティソフトウェアによる検出が困難になります。ダウンロードには、メディアプレーヤーなどの正規のソフトウェアが含まれている場合もあります。感染するには、ユーザーがファイルを開くように仕向けられる必要があります。
「攻撃者は、ユーザーにソフトウェアパッケージをインストールさせるために、完全にソーシャルエンジニアリングの手法に頼っている」とペルクマン氏は記している。「今のところ、ドライブバイエクスプロイトは使用されていない。」
シスコは5月に初めてカイルとスタンのネットワークを検知したが、ペルクマン氏によると攻撃は継続しているという。
「全体的に見て、我々は非常に堅牢で巧妙に設計されたマルウェア配信ネットワークに直面しており、その背後にいる人物が特定されるまでは排除されないだろう」と彼は書いている。
