攻撃サイトをブロックするFirefoxの能力を利用して、不正なアンチウイルスアプリケーション「Security Tool」が新たなトリックを試みている。同アプリケーションが、商品をプッシュするのにFirefox Update Flash機能を使用したのは、それほど前のことではない。

  今回、不用心なユーザがページにアクセスすると、極めて本物らしく見えるFirefoxのブロックページが表示される。

Reported Attack Page

  しかしこれは、通常のブロックページではない。ブラウザをアップデートするため、インストールが行えるダウンロードを提供しているという点で特別なのだ!

Reported Attack Page

  素晴らしいでしょう? それで、不用心なユーザは「ff_secure_upd.exe」をダウンロードし、不正なAVをインストールすることになるかもしれない。

  実際は…スクリプトがブラウザで許可されると、「Download Updates!」ボタンをクリックする必要さえない。ただユーザに不正なAVをオファーするのだ:

Reported Attack Page

  そして「Cancel」をクリックしても、それを拒否する。

Reported Attack Page

  結局、ユーザはFirefoxをアップデートすべき、ということだろうか? そして、同アプリケーションはもう一度ダウンロードする二度目の機会を与える点で寛大だ。

  皮肉なのは、同ページが「攻撃ページの中には、故意に有害なソフトウェアを配布しているものもある」という条項を含んでいることだ。「どちらを選択するか、以下のボタンをクリックして下さい」という条項を加えても良かったかもしれない。

  新たな素晴らしいトリックだがかなり姑息だ。そして上手く行くかもしれない。よって、「Firefox」ブロックページを見たら慎重に。本物のページはユーザに、何かをダウンロードするよう促したりはしない。以下は、本物のFirefoxブロックページの外観だ:

Reported Attack Page

  どこかアラニス・モリセットの歌の一つを思い出させる…

追記:最大限流通させることを目指し、Webサイトは見たところ、「Google Chrome」用のブロックページも用意しているようだ:

Malware Detected!

  今回、不正なAVファイル用に「chrome_secure_upd.exe 」というファイル名を使用している。

  最後に、別のサイトからPhoenixエクスプロイトキットをロードするページ内にiframeがある。

  (この追加情報のクレジットは、WebsenseのPatrik Runaldにある。ありがとう、Patrik! :))

  投稿はChristineおよびMinaによる。