不正なAVは最近、あまり注意を引いていないが、おそらく、最新のトピックが大量のブラックハットSEOポイズニングURLを発生させている場合と比較して、もはや大声で叫んではいないためだろう。
では、この頃どこに潜んでいるのだろうか?
不正AVはもちろん、いまもSEOポイズニングの手法を使用している。結局、ある程度の可視性が必要なのだ。しかし、障害が起きた通常のドメインに加え、それらは現在Tumblrに潜んでいる。
下のスクリーンショットはいくつかの不正なTumblrアカウントの一つからとられたものだ:
そしてインターネットのユーザとして、ビデオとプレイボタンが中央に表示されたら、我々はどうするだろう? クリックする! でしょう? そしてビデオがすぐにプレイされる…今回は違うが。その「ビデオ」は実のところ画像なのだ。よって無邪気にクリックするとマルウェアが起動し、エクスプロイトページに、そして最終的に不正なAVにリダイレクトするページへと導かれる。
それは「YvMiN.jar」というファイルをダウンロードするが、これはJava脆弱性「CVE-2012-0507」を悪用するものだ。さらに、使用しているブラウザがChromeでなければ、追加のファイル(「DoNbI.pdf」および「hCJkApns.pdf」という名称の)もダウンロードされ、次にAdobe Readerの脆弱性、特に「CVE-2008-2992」「CVE-2007-5659」および「CVE-2010-0188」を悪用する。
悪用が成功すると、現在、「Windows Performance Adviser」という不正なソフトに導かれる。
だから…今日の助言は…すばらしいビデオが信頼できるドメイン上に無いなら…クリックしないこと…。でも…でも…しないこと;)
安全なサーフィンを!
では、この頃どこに潜んでいるのだろうか?
不正AVはもちろん、いまもSEOポイズニングの手法を使用している。結局、ある程度の可視性が必要なのだ。しかし、障害が起きた通常のドメインに加え、それらは現在Tumblrに潜んでいる。
下のスクリーンショットはいくつかの不正なTumblrアカウントの一つからとられたものだ:
そしてインターネットのユーザとして、ビデオとプレイボタンが中央に表示されたら、我々はどうするだろう? クリックする! でしょう? そしてビデオがすぐにプレイされる…今回は違うが。その「ビデオ」は実のところ画像なのだ。よって無邪気にクリックするとマルウェアが起動し、エクスプロイトページに、そして最終的に不正なAVにリダイレクトするページへと導かれる。
それは「YvMiN.jar」というファイルをダウンロードするが、これはJava脆弱性「CVE-2012-0507」を悪用するものだ。さらに、使用しているブラウザがChromeでなければ、追加のファイル(「DoNbI.pdf」および「hCJkApns.pdf」という名称の)もダウンロードされ、次にAdobe Readerの脆弱性、特に「CVE-2008-2992」「CVE-2007-5659」および「CVE-2010-0188」を悪用する。
悪用が成功すると、現在、「Windows Performance Adviser」という不正なソフトに導かれる。
だから…今日の助言は…すばらしいビデオが信頼できるドメイン上に無いなら…クリックしないこと…。でも…でも…しないこと;)
安全なサーフィンを!