最終更新日 2019年2月27日

偽ブラウザUpdate Centerでウイルス感染 危険jsファイルと対策2つ

イメージ 2

英語表記だけど、ブラウザの更新作業 をしろってさ???

ネットサーフィン中、『 [使用中のブラウザ名] Update Center 』 というナゾの通知ウィンドウが表示される普通の一般サイトに出会ったらヤバい!

イメージ 1
日本 jpドメインのサイト改ざん実例

イメージ 3
背景が文字化けする不具合発生?
→ 問題が起こってるよう装うウソの演出

Internet Explorer Update Center / Chrome Update Center / Firefox Update Center / Edge Update Center / Safari Update Center / Opera Update Center / Android Update Center
A critical error has occurred due to the outdated version of the browser. Update your browser as soon as possible. FireflyFramer The following errors are also possible on outdated versions of the browser:
! Loss of personal and stored data
!Confidential information leak
! Browser errors
[Update]

このウェブサイトは、悪意のある第三者によって改ざんされていて、アクセスしてきたユーザーに対してデタラメな 偽通知ウィンドウ を表示する処理が仕掛けられてます。


対処方法は?

前にも 「フォント」 をダシにして似たような攻撃手口があったけど、正当なウェブサイト上でもっともらしい通知ウィンドウが表示されるから厄介です。

ブラウザのまともな忠告と勘違いして、騙されてしまうユーザーさんが出てくるやもしれん。 <「怪しいサイトにアクセスしない」 とかムリ


対処方法は 何もしないでブラウザのタブを閉じる など、とにかくページからサッサと離脱することで、簡単に解決します。

ブラウザ更新ファイル? ウイルス

試しに、偽の通知ウィンドウ上の [Update] ボタンをポチッと押すと?

何か zip 形式の圧縮アーカイブのダウンロードするよう促されました。

イメージ 4
ブラウザのダウンロード通知ポップアップ

バックヤードを覗いてみると、ハッキングされてると思われるベトナムのサーバーにアップされてるファイルが落ちてくる仕組み。

イメージ 5

手元に保存した圧縮ファイルを解凍・展開して中身を確認すると、Windows のスクリプトファイル .js が登場しました。

イメージ 7
不正なスクリプトファイル

【不正なスクリプトファイル】
update_2018_02.browser-components.zip
update_2019_02.browser-components.zip
 ↓ 解凍・展開

update_2018_02.browser-components.js
update_2018_02.browser-components (長いスペース) .js
update_2019_02.browser-components (長いスペース) .js

このファイルの正体は、ブラウザを更新 update するファイルでも何でもなく、Windows 上で動作する不正なスクリプトファイルです。

ファイルの拡張子の知識 があれば、自力で脅威を見抜けます。


.js ファイル開いたらウイルス感染

Windows 上で、スクリプトファイルをポチポチッとダブルクリックして開くと?

Windows のシステムにある wscript.exe を介して外部ネットワークに接続を試み、ナゾの実行ファイルをシレッとダンロードしてきて、勝手に起動しました。

イメージ 6
ウイルスが起動して感染した瞬間
下部の緑のファイル


Android スマホ向けに不正アプリ配信

Windows とは別に、Android OS を搭載したスマホやタブレットの端末も攻撃対象になってます。

この改ざん被害を喰らってる一般サイトにアクセスすると、同じ偽の警告ダイアログが表示されるところまでは同じで、その後は不正な Android アプリ(拡張子 .apk)をダウンロードになります。

ファイル名 → update_2019_02.apk
(アプリ名 Browser Update

感染を防ぐ無料ウイルス対策は?

Windows 7/8/10 向けウイルス対策

Windows 環境でスクリプトファイルをうっかり開こうが、100%確実に感染攻撃が失敗して、攻撃者を確実に出し抜ける 無料ウイルス対策 でバッチリ♪

イメージ 8

  1. スクリプトファイルの無害化
    無料ウイルス対策でjs/jse/wsf/vbs拡張子ファイルの無害化

  2. ファイアウォールの活用 (→ wscript.exe をブロックしておく)
    ファイアウォールの設定で悪用プログラムの外部通信ブロックする対策

【スクリプトファイル .js】
https://www.virustotal.com/ja/file/df9f0a2bca187ecd2a60d13da902e522ffb6b545a1607bb1c3dec985bdc8bfdb/analysis/1550300307/
https://www.virustotal.com/ja/file/fe19d2fda77a8a7ae0250d3487118dd7749116db522348358fa012010ddf9704/analysis/1550882151/
https://www.virustotal.com/ja/file/ba4d299c71cd1ea760637c118d2194e300df17eeb2d82f714212815fe14836d3/analysis/1550754171/

ESET JS/TrojanDownloader.Nemucod
Kaspersky HEUR:Trojan-Downloader.Script.Generic
Microsoft Trojan:Script/Foretype.A!ml Trojan:JS/Sonbokli.A!cl
Symantec JS.Downloader ISB.Downloader!gen60
Trend Micro Trojan.JS.NEMUCOD

【実行ファイル .exe Troldesh?】
https://www.virustotal.com/ja/file/bc4a310522daa79f2791201e53946fc64f048a113ab148bbe73aa6ba239470cc/analysis/1550896412/


Android 向けウイルス対策

不正な Android アプリは、配信元が公式の Google Play ストアではない、いわゆる 「野良アプリ」「勝手アプリ」 というヤツです。

イメージ 9
Browser Update と名乗らせたウイルス

Android OS のセキュリティ設定 → [提供元不明のアプリ] は導入しないオプションが有効になっていると、この Android アプリは端末にインストールできません。

先手を打っておくと、このウイルス感染は100%防げます。

【Android アプリ .apk】
d32c11ea9729fe282e97ea6005581fea
https://www.virustotal.com/ja/file/ef35826aff69ee51a20d531dc8e596097f2370c54460a919c64d5aa428d8215b/analysis/1551155661/

Dr.Web Android.BankBot.486.origin
ESET Android/Spy.Banker.AKY
Kaspersky HEUR:Trojan-Banker.AndroidOS.Agent.ep
Sophos Andr/DropApp-D

サイト改ざんリダイレクト tk ドメイン

Windows ユーザーにウイルス感染を誘う攻撃ではなく、ブラウザのアクセス先を強制リダイレクトさせて、不審な海外サイトや広告サイトへ勝手に誘導させるパターンも確認してます。

イメージ 10
正規サイトにリダイレクトの処理が…

【強制リダイレクト先 URL】
http://[ アルファベット ].tk/index/?[ 13ケタの数字 ]
http://[ アルファベット ].icu/index/?[ 13ケタの数字 ]

正規の一般サイトに埋め込まれてる難読化された JavaScript コードにより、無料で取得できる 「.tk」 ドメインを経由して、怪しい URL(リダイレクター)へ飛ばす仕組み?

イメージ 11
Freenom .tk .ml .ga .cf .gq ドメイン

.tkは国別コードトップレベルドメイン(ccTLD)の一つで、オーストララシアにあるニュージーランドの領土であるトケラウに割り当てられている。トケラウは、興味を持つ個人には誰でも.tkドメインを無償で提供している。 (Wikipedia)

攻撃者が使い捨ての 「.tk」 ドメインを大量に取得して、フィッシング詐欺、インチキ詐欺広告、ウイルス配信などの不正なスパムに悪用する事例は多いよねぇ。

関連するブログ記事