ランサムウェア感染経路の1つ一般サイト見ただけPseudo Darkleech改ざん

イメージ 5

今でも 『怪しいサイトにアクセスしない♪』 という 似非ウイルス対策 が通用すると考えるユーザーさんがいる一方、現実に起こってる脅威として

日本を含む世界中の一般サイトが改ざんされる
→ ウイルスやランサムウェアをバラ撒く

という深刻な事例を目撃してます。 <改ざん攻撃名「スードゥ・ダークリーチ」

Website Malware - Evolution of Pseudo Darkleech - Sucuri
https://blog.sucuri.net/2015/12/evolution-of-pseudo-darkleech.html

改ざんの標的となるCMS内のPHPファイル - JPCERT
https://www.jpcert.or.jp/magazine/acreport-cms.html

攻撃の進化: Darkleechから疑似Darkleechへ、そしてさらに - Palo Alto Networks
https://www.paloaltonetworks.jp/company/in-the-news/2016/160323-unit42-campaign-evolution-darkleech-to-pseudo-darkleech-and-beyond.html


改ざんされてる日本の一般サイト

アダ*トサイトとかではないところがウイルスサイトになってます。

たとえば、Windows パソコンをターゲットに ランサムウェア を意図せず配信し続けてる、日本国内の正規の一般サイトの実例がコチラ♪

イメージ 1
市場調査会社
(Joomla! 由来の改ざんか)

イメージ 2
歯科医院
(WordPress 由来の改ざんか)

イメージ 3
犬猫ペット製品の販売会社
(WordPress 由来の改ざんか)

改ざんされてるサイトのバックヤードのとなる HTML ソースコードを確認すると、次のような普通じゃない異様なコードが挿入されてます。 <パッと見でマトモじゃないと分かる

<div id="*****" style="display:none"> ~英数字の長い羅列~ </div>
<script> ~JavaScript コード~ </script>
<span id="*****" style="display:none"> ~英数字の長い羅列~ </span>
<script> ~JavaScript コード~ </script>

ハッキングされてる日本の一般サイト上で稼働してる CMS(コンテンツ マネジメント システム) として、数量の多いのは WordPressJoomla! あたりでしょうか?
 
Web アプリケーションや周辺プラグインを更新せずに、旧バージョンのまま放置していたり、いい加減な admin 管理パスワードを指定してることで、不正アクセスされて改ざんされる大きな原因と思われます。

セキュリティソフト導入も感染経路は空いたまま

結果として、Windows Vista/7/8/10 パソコンで改ざんされてる一般サイトを単に閲覧するだけで、問答無用でウイルス強制感染が待ってます。

ただ、この感染源となるはのは、あくまで 既知の脆弱性 の悪用です。
 
つまり、最新版へ更新するアップデート作業を実施してない Windows パソコン のみ地獄へ落ちます。

  1. Flash Player を旧バージョンのまま放置せず最新版に更新してる?

  2. 毎月定例更新の Windows Update を実施できてる?
    (Internet Explorer、Microsoft Edge の更新)

  3. [導入済みの場合] Java や Adobe Reader は最新版を利用してる?

この条件3つに該当しない Windows Vista/7/8/10 は何だかんだ大丈夫です。

なお、マイクロソフトのサポートが終了した Windows XP はウイルス感染を招く未修正の脆弱性 で溢れてる状態なので、さすがにもうどうにもならんです。

シェア上位のセキュリティソフトを導入 してるのに、暗号化で 拡張子を変更して開けないランサムウェア(Locky、Cerber Ransomware、CryptXXX など)の感染 を許す大きな原因が、感染経路になってる 改ざんサイトの閲覧 です。



<2016年8月 追記...>

とある日本国内の金属加工会社のホームページ(WordPress 由来の不正アクセス?)が Pseudo Darkleech 改ざんで殺られてました。

突撃アクセスして時の様子がコチラ♪

イメージ 4

ウイルスをバラ撒いてることが事前に分かっていたので、故意に Adobe Flash Player の旧バージョンを導入 しておいて攻撃を喰らってます。

  1. 普通に企業ドメイン co.jp へ訪問する

  2. [青文字] その裏で米国サーバー instapros[.]com にシレッとアクセス

  3. そのまま不正なFlashコンテンツ .swf を勝手に読み込まれる

  4. [赤文字] Windows用実行ファイルが勝手に読み込まされる
    → 攻撃が無事に成立して実行ファイルが強制起動してウイルス感染成功

実行ファイルが起動する時に、ユーザーに対して何か確認する場面なぞ皆無です。 <UAC? なにそれ、おいしいの?

ユーザーが行った作業は、単にブラウザで会社のホームページにアクセスした の1点だけです。 <何も怪しい広告やFlashコンテンツをクリックなぞしてない

関連するブログ記事