偽FlashPlayer.exeを起動させる巧妙な手口 正規サイトがウイルス配布?
 
どこか和菓子屋のホームページがハッキングされてたので突撃してみたところ、アクセスした直後にWindows向け実行ファイル「FlashPlayer.exe」を起動するようブラウザのダウンロード通知が表示される~。
 
イメージ 1
怪しい雰囲気の欠片もないトップページ
 
ダウンロードできる実行ファイルは↓こんな感じで、もっともらしくブラウザアドオン Adobe Flash Player のインストーラっぽく偽装されたコンピュータウイルスなのでしたー。
 
イメージ 4
アイコン画像の偽装も… ナゾの実行ファイル FlashPlayer.exe
 
MD5 62b4414fdc8bf70d584d29bf1b38be14
www.virustotal.com/ja/file/c71a9189576520297084b9c7e35dae57d69bd07f356dece0d917f3c4a1d41800/analysis/1447466418/

MD5 1a7e0e8299bf89bbea05330ef181aafd
www.virustotal.com/ja/file/65a31cc585a3dfc48ae62d05cf15cb3c8c1e7dbeb224a6a25efc5841f898a225/analysis/1447274478/
 
怪しいサイト」にアクセスしたワケでもなく、普通のサイトを閲覧してるだけなのに、どうしてマルウェアの自爆感染を誘導できる?
 
HTMLソースコードを確認してみると、不正な<iframe>タグが挿入されていて、ブラウザ内部で不正なページをひっそり読み込んで、ファイルのダウンロード通知が表示されてるトリックなのでした。
 
イメージ 2
1x1サイズの不正なインラインフレームタグが確認できる
 
この和菓子屋のホームページは、WordPress が旧バージョンのままで運用してるようなので、それがらみで悪意のある第三者がサイトを侵害してるっぽい?
 
同じような改ざん被害を喰らってる一般サイトは複数存在し、サイトのテーマ次第では閲覧に必要なファイルかと勘違いしてしまうやも。 <巧妙な手口
 
イメージ 3
改ざんされてる海外のeラーニング学習サイト (スペイン語表記?)
 
タグ :
その他インターネット