無題なブログ

　だいぶ前から改ざん被害を受けてた、日本のとある一般サイトのトップページに不審なJavaScriptタグが挿入されたのを確認しました。インドドメイン（.in）のJSファイルを読み込むようになってます。

　で、このサイトに普通にブラウザでアクセスしてみると、ページのど真ん中におかしな謎のエラーダイアログが突然出現っ！

Firefox
　　

Chrome
　　

Internet Explorer （表示される位置がバグってて最下部）
　　

An error occurred while checking for updates: Installation failed. Please try again.
Error code = 0x00000000.

訳： 更新チェック中にエラー（インストール失敗）が発生しました。もう一度試してください。

　謎のエラーダイアログの右下に[OK]ボタンがあるので押してみると、「winsetup.exe」なる怪しい実行ファイルをダウンロードするようブラウザのポップが表示されます。はたしてこれをうっかり踏んじゃう人がどのくらいいますかい？

www.virustotal.com/file/da54e6d51e9aca38cb83b12d6754c84c021368bff2a0e78a3f85c9382089f720/analysis/1337651975/

　スマートフォンのAndroid端末だけターゲットとしたドライブバイダウンロード攻撃を確認したというニュースが。不正なインラインフレームが挿入されちゃってる一般サイトを訪問すると、APKファイルが端末に自動的にダウンロードされちゃうものの、提供元不明アプリをユーザー手動でインストールしなければ感染状態にならず。そこを突破するため、自らは「Update.apk」（com.Security.Update）と名乗ってる形。
・ Security Alert: Hacked Websites Serve Suspicious Android Apps (NotCompatible) （Lookout）
・ Website Injection-Campaign Used in Conjunction with an Android Trojan （Symantec）
・ Trojan Android.Notcompatible （Symantec）

　紹介されてる不正なインラインフレームタグに何か見覚えあるなぁと思ったら・・・これだっ！

　ここはWindowsパソコン向けにウイルスを撒いてた日本の一般サイト。CGI/PHPとか使えないFC2ホームページでレンタルされてるので、サイト管理者のパソコンがウイルスに感染しFTPアカウントが引っこ抜かれてハッキング。

　先月、ページの最後尾に不正なインラインフレームタグが挿入されたので、アクセスしてみたけれど特に何も降ってこず「何コレ？」程度でしたが。ブラウザのユーザーエージェントに「Andorid」の文字列が含まれてるとアクセスできるという情報なので、今アクセスしてみるもののコチラではダメ。

　Mac OS Xトロイの木馬Flashbackの感染により構築されたボットネットの台数が世界で60万台の情報を発表して話題になったセキュリティ会社ドクターウェブの情報。日本は0.1％としてましたが、世界各地の詳細な台数を昨日発表してます。

　　　　　　　　

・ BackDoor.Flashback geo statistics （Doctor Web）

　あと、MacマシンのUUID値からボットネットに組み込まれてるかどうか調べることができるオンラインチェッカーを公開してます。
・ Dr.Web C&C Botnet HW-UUID checker

　また、セキュリティ会社カスペルスキーも調査を行った結果を今日発表しました。（カスペは「Flashfake」というウイルス検出名）

　　　　　　　　

・ Flashfake Mac OS X botnet confirmed （Kaspersky）

　Java for Macの旧バージョンにある脆弱性を悪用したウイルス感染攻撃。ロシアのセキュリティ会社Doctor Web（Dr.Web）によると、Mac OS X向けマルウェアFlashbackの感染で構築されたボットネット（ゾンビマシン）の規模が60万台以上確認してるとか。下の報告だと55万台としてるけど、中の人がTwitterで60万台以上になってると追加報告してます。
・ 55万台もの強力なMacボットネットを発見 （Doctor Web）
・ 60万台以上の「Mac」がトロイの木馬「Flashback」に感染か （CNET Japan）

１. アメリカ （56.6％、感染したホスト数 303,449台）
２. カナダ （19.8％、106,379台）
３. イギリス （12.8％ 、68,577台）
４. オーストラリア （6.1％ 、32,527台）
　　:
？. 日本 （0.1％）

　それぞれのボットは、コントロールサーバーへ送信するクエリ内に、感染したコンピューターのユニークなIDを含んでいます。Doctor Webのアナリストは、シンクホールテクノロジーを使用してボットネットトラフィックを自身のサーバーへとリダレクトすることで、感染したホストの数を割り出しました。

　米国が特に多いということで、これはFlashbackマルウェアを配信するための攻撃サイトへ転送させるMacユーザーに縛りがあったことが影響してると思います。たとえば、Safariブラウザだとユーザーエージェントの文字列が↓のようになってると転送されます。

　逆に、↓のようになってると攻撃サイトへは転送されず弾かれます。24時間見張ってたわけじゃないので、この振り分けをどの程度実行してたのかは攻撃者にしか分かりませんが。

● 現在のFlashbackマルウェア配信サイトの様子・・・
　昨日4日までこんな感じで稼動してましたが、今日Doctor Webが感染台数や配信サイトのURLなど詳細は情報を出して、かなり騒ぎが大きくなったからなのか、現在は稼働停止状態になってます。攻撃サイトへ転送させるリダイレクターページの１つを見てみると、今はダミーとして検索エンジンBingへ転送される〜。

---

[追記...]
　Doctor WebがFlashbackマルウェアの感染マシンが存在する地理情報について発表してます。日本は485台となってます。
・ BackDoor.Flashback geo statistics

　Java for Macの脆弱性（CVE-2012-0507）を悪用してウイルス感染攻撃。Windows向けJavaは先々月2月にリリースされた「1.6.0_31」でこの脆弱性の修正が行われてますが、Java for Macの方は「1.6.0_29」になるので、最新版に更新してあっても対処できないゼロデイ攻撃の状態になってたことに。
・ 未パッチのJava脆弱性を悪用するMac Flashback （F-Secure）

　これを受け、AppleはJava for Macの最新版「1.6.0_31」を今日リリースし対処。
・ About the security content of Java for OS X Lion 2012-001 and Java for Mac OS X 10.6 Update 7

　んで、この攻撃がMac OS Xマシン向けに始まったのが先月3月17日です。下に書き出してあった「al-*.jar」がその不正なファイルになります。セキュリティ会社がすぐに注意情報を出すと思ってたけど、何も動きなく2週間経ってやっと表に･･･。
・ Mac OS X Flashbackウイルス と Javaエクスプロイト （その２）

　もう古いものですが、17日時点の「al-*.jar」ファイルの中で悪用処理部分はこんな感じ。27行目に見える「xnm」が「al-*.jar」に内蔵されているFlashbackマルウェア本体です。

・ Javaの脆弱性(CVE-2012-0507)を悪用する攻撃の増加を確認 （IBM Tokyo SOC）
・ Oracle Java SE JDKおよびJREの Concurrencyサブコンポーネントにおける脆弱性 （CVE-2012-0507）に関する検証レポート （NTTデータ先端技術株式会社）