以前のブログで、ソーシャルエンジニアリングの手法を駆使した攻撃者が、ユーザーを脅してミスリーディングアプリケーションを購入させようとする手口について報告しました。そして今度は、少し異なる手口でユーザーを欺く複数の Web サイトが見つかりました。
これらの Web サイトは、ユーザーを騙すために、悪意のあるページにアクセスしようとしたときにセキュリティ機能やセキュリティ技術によって返されるページによく似た偽のページを表示します。ただし、たとえば Google では[Get me out of here]ボタンが表示されるのに対して、偽のページでは、[Download Updates!!]ボタンが表示されます。
ユーザーがどのブラウザを使用しているかに関係なく、一見したところ Firefox および Chrome の更新版のダウンロードを強制しているように見える、同じ偽のダイアログボックスが表示されます。ユーザーが[Cancel]ボタンをクリックしても、この偽のダイアログボックスが画面から消えることはありません。
ダウンロードされる実行可能ファイルは、Security Tool という悪名高いミスリーディングアプリケーションの亜種のようです。これを実行すると、ユーザーを脅すための大げさなポップアップが表示されます。
一般的なミスリーディングアプリケーション配信 Web サイトとは異なり、こうしたサイトは、ソーシャルエンジニアリングの手法だけに依存してユーザーを欺くわけではありません。経験豊富なユーザーがミスリーディングアプリケーションの実行可能ファイルをダウンロードしなかった場合、こうした Web サイトは次にユーザーを別の Web サイトにリダイレクトさせ、その Web サイトから悪名高い Phoenix エクスプロイトキットをホストしている悪意のある Web サイトにさらにリダイレクトさせます。
Phoenix は、非常に不明瞭な JavaScript コードを使用して、セキュリティ製品を回避する自動エクスプロイトキットです。Phoenix エクスプロイトキットには、以下の脆弱性を突くエクスプロイトが含まれます。 • IE MDAC • IE iepeers • IE SnapShot Viewer ActiveX • Adobe Reader および Flash - PDF Collab/printf/getIcon/NewPlayer/LibTiff • Java - HsbParser.getSoundBank および JRE • Windows ヘルプセンター (HCP) これらのエクスプロイトキットは、主に Web ブラウザに影響を及ぼす脆弱性を悪用した後に、マルウェアを配信するために使用されます。ユーザーが何とかこの最新のブラウザアップデートの手口の犠牲者になるのを免れた場合、攻撃者は代わりにこうしたエクスプロイトキットを介してミスリーディングアプリケーションを配信します。 マルウェアの作成者はユーザーを騙すために、革新的なソーシャルエンジニアリングの手口を駆使していますが、対策はいたってシンプルです。常に、信頼性を確認できないハイパーリンクはクリックしないようにしてください。リンクをクリックする前に、Norton セーフウェブなどの製品を使用して、リンクを検証することをお勧めします。さらに、更新版は、正規ベンダーの Web サイトからのみダウンロードしてください。最新の定義ファイルに更新したシマンテック製品をお使いのユーザーは、この攻撃から保護されていますので、ご安心ください。