Tag Archives: Web Attack

2014 年最初の週に、シマンテックは定番とも言えるソーシャルエンジニアリングの手法を使い、被害者に強制的にマルウェアをインストールさせる Web サイトを確認しました。ドメインは http://newyear[削除済み]fix.com で、2013 年 12 月 30 日に登録されています。シマンテックの調査によると、攻撃の 94% は英国のユーザーを狙っているようであり、広告ネットワークと、無料動画ストリーミングサイトやメディアサイトを通じて攻撃が仕掛けられています。

攻撃者は、以下のような手口で被害者を欺こうとします。

• URL に「new year（新年）」や「fix（修正）」などの語句が含まれる。
• いかにもそれらしい見かけのテンプレート（Google、Microsoft、Mozilla などの）を使い、システムの正常な動作には緊急のアップデートが必要であると説明する。
• ブラウザの種類に応じて、Chrome、Firefox、Internet Explorer の Web ページにユーザーをリダイレクトする。リダイレクト先は偽サイトだが、まるで本物のように見える。
• JavaScript のループ処理を使って、被害者がしかたなくサイトにとどまるように仕向ける。ブラウザを閉じるには、［Yes/No］オプションを 100 回もクリックしなければならない。

このようなソーシャルエンジニアリング攻撃は、独特ではありますが目新しいものではありません。緊急のアップデートをインストールしなければならないというユーザーの不安感を狙っています。ドメインは昨年末に登録されたばかりですが、もうホリデーシーズンも終わる時期だったので、攻撃者がこの手法を思いついたのは、ぎりぎり最後のタイミングだったようです。

Web サイトは、ウクライナにホストが置かれ、Apache と Nginx によってセットアップされたデュアルハイブリッド Web サーバーを利用しています。被害者のブラウザを識別してリダイレクトを実行しているのは、このうち Nginx です。

ユーザーには、使っているブラウザの種類に基づいて Google Chrome、Mozilla Firefox、または Microsoft Internet Explorer のテンプレートが表示されます（図 1 から 3）。

図 1. Chrome のユーザーに表示されるページ

図 2. Firefox のユーザーに表示されるページ

図 3. Internet Explorer のユーザーに表示されるページ

図 4: JavaScript のループを使ったボタン。100 回クリックしないと閉じない

この記事の執筆時点では、Internet Explorer 版の Web ページはすでに機能しなくなっています。Chrome のダウンロードページからは Chromeupdate.exe がダウンロードされ、Firefox のダウンロードページからは Firefoxupdate.exe がダウンロードされます。

どちらのサンプルも、シマンテックは Trojan.Shylock として検出します。シマンテックは、この攻撃に対して以下の IPS 定義を提供しています。

Web Attack: Gongda Exploit Kit Website

この手の脅威から身を守るために、シマンテックは以下のことを推奨します。

• ウイルス対策定義、オペレーティングシステム、ソフトウェアを最新の状態に保つ。
• 電子メールやメッセージサービス、ソーシャルネットワークで送られてきたリンクがどんなに魅力的でも不用意にクリックしない。
• ファイルは、信頼できる正規のソースだけからダウンロードする。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

In the first week of 2014, we came across a website using tried and tested social engineering techniques to coerce victims into installing malware. The domain http://newyear[REMOVED]fix.com, was registered on December 30, 2013. Based on our research, 94 percent of  attacks appear to be targeting users based in the United Kingdom through  advertising networks and free movie streaming and media sites.

The attackers attempt to trick victims using the following techniques:

• A URL containing the words “new year” and “fix”
• A professional looking template (from Google, Microsoft or Mozilla) telling the victim that a critical update is necessary for their system to function properly
• Redirecting the user, based on their browser type, to a fake but convincing Chrome, Firefox, or Internet Explorer Web page.
• Using a JavaScript loop to force the victim to give up and stay on site – users have to click on the “Yes/No” option 100 times in order to close the browser.

This particular social engineering attack is not novel, and plays on victims’ fear of needing to install urgent updates. Since the domain was registered only last week, it appears the attacker thought of this scheme at the very last minute, as the holiday season starts winding down.

The website, which is hosted in the Ukraine, uses a dual hybrid Web server setup by Apache and Nginx, with the latter identifying the victim’s browser and performing a redirect.

The user will see the Google Chrome, Mozilla Firefox, and Microsoft Internet Explorer templates, shown in Figures 1 to 3, based on the type of browser they are using.

Figure 1. Page displayed to Chrome users

Figure 2. Page displayed to Firefox users

Figure 3. Page displayed to Internet Explorer users

Figure 4. JavaScript loop button which requires 100 clicks to close

At the time of this blog post, the Internet Explorer version of the Web page is no longer functional. The Chrome download page serves up Chromeupdate.exe while the Firefox download page serves up Firefoxupdate.exe.

Both of these samples are detected by Symantec as Trojan.Shylock. Symantec also has the following IPS coverage in place for this attack:

Web Attack: Fake Software Update Website

To stay protected against this type of threat, Symantec recommends that users:

• Keep antivirus definitions, operating systems, and software up-to-date.
• Exercise caution when clicking on enticing links sent through emails, messaging services, or on social networks.
• Only download files from trusted and legitimate sources.