正当であるが侵害されたWebサイトの数が増加していることを利用して、新しいマルウェアキャンペーンが発見されました. 悪意のある操作は、ユーザーが偽の、しかし本物の更新通知で促されるソーシャルエンジニアリングのトリックに基づいて構築されています, 研究者は報告した.
偽の更新技術がユーザーをうまくだまします
このキャンペーンの最初のアカウントは、昨年12月からです。 BroadAnalysis DropBoxからダウンロードしたスクリプトを分析しました.
現在のキャンペーンは、WordPressやJoomlaなどのいくつかのコンテンツ管理システムに影響を与えています. セキュリティ研究者のジェローム・セグラによると, 影響を受けたWebサイトのいくつかは古く、悪意のあるコードインジェクションが発生しがちでした. 研究者は、攻撃者がこの手法を使用して、侵害されたサイトのインベントリを作成したと考えています。. でも, この理論はまだ確認されていません.
WordPressとJoomlaのWebサイトはどちらも、システムのJavaScriptファイル内でインジェクションを使用してハッキングされました. 挿入されたファイルの一部には、jquery.jsおよびcaption.jsライブラリがあり、コードは通常追加され、同じファイルのクリーンコピーと比較することで認識できます。.
特別に設計されたクローラーを使用する, 研究者は、侵害されたWordPressおよびJoomlaのWebサイトの数を見つけることができました. 感染したWebサイトの正確な数はありませんが, それはおそらく数千人に.
JoomlaとWordPressに加えて, 別のコンテンツ管理システムも影響を受けました– Squarespace. Squarespaceユーザーは 報告 彼は次のように言って全ページにリダイレクトされました。Chromeのバージョンを更新する必要があります」.
感染はどのように行われますか? 影響を受けたCMSWebサイトは、同様のパターンでリダイレクトURLをトリガーすることが判明しました, 特定の偽の更新のロードで終了します. 研究者は、影響を受けるCMSごとに異なるURLがあると言います.
使用された偽の更新? 不正なブラウザアップデートは、Chromeと Firefox ブラウザ, Internet Explorerは、偽のFlashPlayerアップデートを介してターゲットにしています.
悪意のあるキャンペーンのペイロードは何ですか?
研究者は、ドロップされたペイロードの1つがChtonicバンキングマルウェアであると判断できました。, ZeusVMのバリアント. もう1つはNetSupportRATです.
これは、パッチが適用されていないものを悪用する最初のキャンペーンではありません, したがって、脆弱なCMSベースのWebサイト. CMSの脆弱性は、成功するマルウェア攻撃の多くに共通する要因です。. 例えば, の 2016 研究者は、膨大な数の企業が古いバージョンのDrupalとWordPressを実行していることを発見しました.