Barracuda Labsの研究者によると、ここ数日間で人気のユーモアWebサイトCracked.comにアクセスしたことがある場合、ドライブバイダウンロード攻撃に見舞われている可能性があります。 すぐにコンピューターをスキャンしてください!
11月10日に、Cracked.comが脆弱なシステムを持つサイト訪問者にマルウェアを配信するドライブバイダウンロードをホストしていることを発見したバラクーダネットワークスの研究者ダニエルペックとポールロイヤルは、バラクーダラボのブログに書いています。 11月4日には攻撃者がサイトにアクセスした可能性があります。
ドライブバイダウンロードは、Webページ上の悪意のあるコードがユーザーのコンピューターで実行されているソフトウェアの脆弱性を標的にしている場合に発生します。 ユーザーがリンクをクリックするかファイルを開く必要がある他のWebベースの攻撃とは異なり、ドライブバイはマルウェアをダウンロードしたり、ユーザーの操作なしでコマンドを実行したりできます。 ユーザーはページにアクセスするだけで感染します。
Cracked.comのサイト管理者がユーザーフォーラムに投稿し、火曜日の夜に問題が解決したことを示しました。 「ええ、私たちはそれについて苦情を受け取らず、Googleはマルウェアの警告リストまたはそれを引き起こしたものから私たちを除外しました。他の誰かが再びそれを受け取っていますか?」
Barracuda's Peckは、このサイトが現在侵害されていないことをSecurityWatchに確認しましたが、Cracked.comの過去の問題を調べた後、これらの種類の攻撃は「彼らにとって繰り返し発生する問題のようです」と述べました。
攻撃の詳細
この場合、Cracked.comの悪意のあるJavaScriptコードは、crackedcdm.comと呼ばれる攻撃者が所有する別のサイトから悪意のあるページを要求します。 この時点で、攻撃ページは「悪意のあるPDF、Java、およびHTML / JavaScriptファイルの混合」を使用して、ブラウザーを侵害しようとします。 ブラウザが危険にさらされると、マルウェアは自身をダウンロードしてインストールします。 VirusTotalによると、公開時点で、47の主要なウイルス対策ベンダーのうち24がマルウェアを検出しています。
ユーザーに何か問題がある可能性があるという唯一の兆候は、Javaプラグインが起動し、システムのメモリが不足しているというメッセージが表示されることです。
バラクーダラボは、「数千の訪問者」が攻撃にさらされた可能性があると警告しています。 Alexaによって収集された統計は、Cracked.comを米国で289番目、世界で654番目に人気のあるサイトとしてランク付けしています。
Peckは、最初の発見は、攻撃者がNuclear Exploit Packで見つかったものと同様のテクニックとエクスプロイトを使用していたことを示していると述べました。 また、多くのアンチウイルスベンダーがAndromボットネットの一部としてマルウェアを検出しているようです。
信頼済みサイト
過去10日間にCracked.comにアクセスした場合は、ウイルス対策シグネチャを更新して、すぐにマシンをスキャンしてください。 VirusTotalによると、Kaspersky Lab、F-Secure、Trend Micro、Symantec、McAfee、およびBitDefenderを含むいくつかの主要なウイルス対策スイートが、このマルウェアを検出するために本日署名を更新したようです。
また、Adobe Reader、Java、Webブラウザーなどの一般的なターゲットソフトウェアの更新を常に把握してください。これらのドライブバイダウンロードは、パッチが適用されていないソフトウェアに依存するためです。 Google Chromeなどの多くのWebブラウザーでも、サイトで検出されているマルウェアに関する大きな赤い警告画面が表示されます。 セキュリティソフトウェアまたはブラウザからマルウェアの警告を受け取った場合は、真剣に受け止めてサイトにアクセスしないでください。 その面白い記事は続きます。
Cracked.comフォーラムの投稿を見たところ、多くの人が警告を見て、とにかく「進む」ボタンをクリックしてサイトにアクセスしたようです。 そんなことしないで!
Cracked.comはこれらのインシデントについてサイト訪問者に積極的に警告せず、システムをクリーンアップするための修復手順を提供しないという事実は、「マルウェアに懸念がある場合はCracked.comを回避する必要があることを示す傾向があります」とBarracuda Labsは結論付けましたその投稿。
