不正なAVは最近、あまり注意を引いていないが、おそらく、最新のトピックが大量のブラックハットSEOポイズニングURLを発生させている場合と比較して、もはや大声で叫んではいないためだろう。

  では、この頃どこに潜んでいるのだろうか?

  不正AVはもちろん、いまもSEOポイズニングの手法を使用している。結局、ある程度の可視性が必要なのだ。しかし、障害が起きた通常のドメインに加え、それらは現在Tumblrに潜んでいる。

  下のスクリーンショットはいくつかの不正なTumblrアカウントの一つからとられたものだ:

tumblr2

  そしてインターネットのユーザとして、ビデオとプレイボタンが中央に表示されたら、我々はどうするだろう? クリックする! でしょう? そしてビデオがすぐにプレイされる…今回は違うが。その「ビデオ」は実のところ画像なのだ。よって無邪気にクリックするとマルウェアが起動し、エクスプロイトページに、そして最終的に不正なAVにリダイレクトするページへと導かれる。

tumblr

  それは「YvMiN.jar」というファイルをダウンロードするが、これはJava脆弱性「CVE-2012-0507」を悪用するものだ。さらに、使用しているブラウザがChromeでなければ、追加のファイル(「DoNbI.pdf」および「hCJkApns.pdf」という名称の)もダウンロードされ、次にAdobe Readerの脆弱性、特に「CVE-2008-2992」「CVE-2007-5659」および「CVE-2010-0188」を悪用する。

exploit

  悪用が成功すると、現在、「Windows Performance Adviser」という不正なソフトに導かれる。

windows_performance_adviser

  だから…今日の助言は…すばらしいビデオが信頼できるドメイン上に無いなら…クリックしないこと…。でも…でも…しないこと;)

  安全なサーフィンを!