Operaにサイバー攻撃 更新ファイルとしてFareitウイルス配信?
Operaブラウザを提供してるOpera Softwareのサーバーに対して、サイバー攻撃が行われたとか。。。
- The Opera Security group - Security breach stopped
http://my.opera.com/securitygroup/blog/2013/06/26/opera-infrastructure-attack - Opera 不正アクセスを受け、コードサイニング証明書盗まれる (Sophos)
http://www.sophos.com/ja-jp/press-office/press-releases/2013/06/ns-opera-breached-certificate-stolen.aspx - Opera Software、19日に同社の社内ネットワークが攻撃を受けたことを発表 (窓の杜)
http://www.forest.impress.co.jp/docs/news/20130627_605503.html
期限切れだけれどもOpera Softwareの正規のデジタル証明書が1つ盗まれ、
それで署名されちゃったFareitウイルスがOperaのサーバーに更新ファイルとしてアップされてたみたい? (2013年6月19日午前10時から36分間)
- Opera-12.15-1748.i386.autoupdate.exe
- MD5 dce3e33eb294f0a7688be5bea6b7e9d4
- hxxps://www.virustotal.com/en/file/8ecbca0de44c82d1c7ffced288aa68c1247bb1255693cd1c5747fb6cef394b43/analysis/1371640100/
hxxps://malwr.com/analysis/ZjUzOTk1MzE5M2YzNDk5YjljZTRiMjM5M2M1ZTQ5Y2U/
前にも正規のデジタル証明書なFareitウイルスがありましたな。。。
- 盗まれた正規のデジタル証明書で署名されちゃってるウイルスファイル
http://geocities.yahoo.co.jp/gl/gbmogiki/view/20130315/1363352765
日本国内の正規サイト改ざんでも、Win32/Fareitがドライブバイ・ダウンロード攻撃によってバラ撒かれてますねぇ。
- IPA 独立行政法人 情報処理推進機構:ウェブサイト改ざんの増加に関する一般利用者(ウェブ閲覧者)向け注意喚起
http://www.ipa.go.jp/security/topics/alert20130626.html
【1】 FTPソフト、ブラウザ、メールソフトからアカウント情報を引っこ抜く
【2】 追加のマルウェアをダウンロードしてきて起動する
- TrojanDownloader:Win32/Nymaim.B
- Rogue:Win32/Winwebsec ← 日本のIPアドレスだとコッチ
【3】 役目は終わったので、自分自身を削除してサラバッ!