先日、攻撃者のチームがマルウェアをサーバーにダウンロードすることにより、数千の異なるサイトをハッキングしたことが判明しました。 これは、所有者が侵害されたリソースにアクセスしたときにユーザーのPCに感染するために行われます。 昨日、ハックは実施されず、キャンペーンは慎重に偽装され、少なくとも数か月前に実施されました。
ほとんどの場合、WordPress、Joomla、SquareSpaceなどのCMSのリソースは驚きました。 インシデントに関する情報は、Malwarebytesで働く情報セキュリティの専門家Jerome Seguraによって提供されました。 ハッカーは非常に慎重に行動したと彼は言った。 感染したサイトでは、Firefox、Chrome、またはFlashの更新プログラムをインストールする必要があるという訪問者のメッセージが表示されました。
検出を回避するために、偽の通知が送信された各IPは、1人の訪問者に対して1回しか使用されませんでした。 さらに、通知テンプレートがハッキングされたサイトのサーバーにアップロードされたため、ほとんどのデータは、他の理由でフィッシングデータベースや危険なデータベースに入力されなかった「ホワイト」リソースから取得されました。
興味深いことに、更新に同意してメッセージをクリックしたユーザーは、DropBoxからダウンロードされた悪意のあるJavaScriptファイルの犠牲者になりました。 このスクリプトは後で仮想マシンまたは「サンドボックス」の兆候の存在を検索し、種類が見つからなかった場合、最終的なマルウェアである有効なデジタル証明書で署名された実行可能ファイルのダウンロードが開始されました。
このような戦術は良い結果をもたらしました-通知を疑う人はほとんどいません(ほとんどのユーザーが情報セキュリティの専門家ではないことを忘れないでください)。そのため、ウイルスは数千のシステムに感染しました。 ところで、JavaScriptファイルは難読化されているため、従来の方法による分析は困難です。 それに加えて、攻撃者はバンキングマルウェアChthonicや使い古したバージョンのNetSupportなどのソフトウェアを使用しました。これは通常、通常の状況ではユーザーのシステムにリモートアクセスできる「白い」アプリケーションです。
これは、ブラウザを「更新」するプロセスの様子です
Malwarebytesのスペシャリストは、攻撃者が侵害できるWebサイトの数を正確に判断できませんでした。 会社の代表者は、特定の兆候に従って、感染の存在を「理解」し、作成者にそれを知らせる特別なスパイダースクリプトを作成しました。 特に、彼は何百ものWordpressとJoomlaのサイトが感染していることを示しました。 この簡単なリクエストで自分で確認できます。 マルウェア配布キャンペーンは、昨年12月20日までに開始されたという仮定があります。 攻撃者は、サーバーまたはCMSが更新されていないリソースに感染することができました。
攻撃自体は非常によく考え抜かれたため、情報セキュリティの専門家の注目を集めました。 攻撃者は、この種の攻撃を通常ブロックする多くの防衛システムをだましました。
ところで、所有者は自分のサイトを「ハッキング」することがあります。 たとえば、それらの一部は、お金を稼ぐために暗号マイナーコードを追加します。 これは暗号ジャッキングと呼ばれます-サイト訪問者のコンピューターでの慎重な暗号通貨マイニング。 そのような収益のスキームでは、それが1つの「しかし」ではなかったとしても心配することはありません。
まず、ほとんどの場合、訪問者は暗号通貨がコンピューター上でマイニングされることを通知されません。 最も興味深いのは、オンラインストアの所有者でさえ、サードパーティの広告や収益化スキームをデフォルトで欠いているはずのリソースに、Coinhive暗号化ジャッキングスクリプトをインストールすることです。 2017年の終わりに、Coinhiveは数千の電子商取引サイトにインストールされました。
公平に言えば、多くのオンラインストアがまだハッキングされており、その所有者は暗号化ジャッキングについて何も知らないと言わなければなりません。 さらに、 Willem de Grotによる調査では、80%のケースでCoinhiveスクリプトがこれらのリソースにインストールされただけでなく、スキミングのためのさまざまなマルウェア(店舗顧客の銀行カードの詳細をコピー) もインストールされました。