高機能なマルウェア配布がおよそ4ヶ月ほど続いた見られ、セキュリティ研究者は今、その回避計画の主な特徴を報告している。Malwarebytes その他のサイバーセキュリティ企業の研究者は、複数の感染とその起源を分析。さらに驚きの事実を見いだした。
“FakeUpdates” キャンペーンはWordPressおよびJoomlaウェブサイトを損なわす
キャンペーンは2017年の12月に始まり、しばらくの間続いたと言われている。キャンペーンは疑い知らずのユーザーに不正なアップデートを提供する“FakeUpdates”と呼ばれるもの。ユーザーが自称「役立つアップデート」をダウンロードすることに同意すると、実際にはマルウェアを取り入れることになる。最近では多くのウェブサイトがハッキング被害を味わう羽目になった。Magento ストアもそのひとつで危険にさらされた上、知らないうちにハッカーがマルウェアを拡散しクレジットカードの詳細を盗んだりクリプトマイナーを広げる手助けをしてしまった。またGitHub ウェブサイトに対しても、DDoS攻撃がウェブサイトを焼く10分間閉鎖した際に別の打撃が与えられた。
“FakeUpdate” キャンペーンの最初の痕跡は2017年12月の終わりに検出されたが、研究者たちはすべてのピースを組み立て、この不正アップデートがよく組織された計画の一部であるということを見つけ出すことができなかった。ソースによると、このキャンペーン中に複数のウェブサイトプラットフォームが危険にさらされた。そのほとんどのウェブサイトが、かなり長いことアップデートされていなかったためにハッキングされた。サイバー犯罪者が悪用できる脆弱性があったのだ。
複数のWordPressおよびJoomla ウェブサイトは、知らないうちに不正なChrome、Firefox、およびその他のプログラムの偽アップデートを分布した。WordPress のウェブサイトに関連するいくつかの事件についてはすでに議論している。1月には5000ものウェブサイトがハッキングされ、キーロガーを拡散するように改ざんされた。
このマルウェア分布キャンペーンを更に詳しく
FireEye 研究者は、これらの不正な通知はさまざまな悪意あるプログラムを分布する目的で使われていただけではなく、NetSupport Manager リモートアクセスツール(RAT)を送信したと示した。このプログラムは商業的に入手可能で正当なものだが、ハッカーがマシンへの権限アクセスを得るためにユーザーの認識なしにシステムにインストールすることでこのアプリケーションを悪用することを防ぐものではない。
研究者はFakeUpdates キャンペーン評判のいい詐欺だと述べている。初期のJavaScriptsにはセキュリティプログラムによって検出されないようにする難読化操作が含まれている。またマルウェアには巧妙なファクターが含まれるため、研究者が分析しにくくなっているのも事実だ。
ダウンロードのアップデート、つまりJavaScript ファイルは被害者ユーザーのマシンに関する情報を収集し、ファイルへのコマンドを送信するサーバーに転送する。JavaScriptが正しく実行されると、最終的なマルウェアのバージョンが「Update.js」という名前でダウンロードされる。一見するとアップデートのファイルのように見えるが、実際には悪意あるファイルなのだ。
理論的には、多くのセキュリティ研究者たちがユーザーに対して信頼できるソースからのみのアップデートプログラムをインストールするよう常に呼びかけているので、偽のアップデートプログラムはもはや問題ではない。しかし、偽のGoogle Chrome や Mozilla Firefox アップデートは未だに好調で、ランサムウェアやトロイの木馬、キーロガーなどの悪意あるコンテンツを分布させている。
Source: https://www.2-viruses.com/fakeupdates-campaign-website