米Yahoo!の広告からマルウェア発見―Bitcoin採掘ソフトも混入

CNET Japanによると、米Yahoo!が配信していた広告に第三者によりマルウェアが仕掛けられていたとのこと。

現地時間1月3日、Yahoo.comを訪問したユーザーに対して、同社の広告ネットワーク経由で悪意のある広告が提供され始めた。こういった広告は、「Magnitude Exploit Kit」が仕込まれているウェブサイトに被害者を誘導するというものであった。Magnitude Exploit Kitには、最新のパッチが適用されていないJavaシステムを悪用するマルウェアが複数含まれている。
Magnitude Exploit Kitには他の多くのエクスプロイトキットと同様に、銀行情報を盗むためのトロイの木馬型マルウェアや、ダウンローダ、アドウェアを含む複数のマルウェアが搭載されている。

via: CNET Japan

だそうで、マルウェアそのものはJavaの脆弱性を突いたモノらしい。

今回の攻撃を最初に公表したFox-ITによると、大多数の感染は欧州で発生、英国やフランス、ルーマニアのWindowsマシンが主に影響を受け、感染ペースは1時間に2万7000台の早さで、既に米Yahoo!は攻撃を遮断したものの数百万人以上のユーザーに影響を与えた可能性があるとか。

更に

セキュリティ企業Light Cyberによると、Yahooの欧州ユーザーを標的とする先週のマルウェア攻撃はBitcoinのマイニングネットワークを構築するための試みでもあったという。

via: CNET Japan

と、この攻撃で配布されたマルウェア一式のなかにはBitcoinの*1マイニング用ソフトウェアも含まれてたとのこと。

ちなみにそのLight Cyberが、自社のクライアントに向けた私的なアドバイスとして感染の有無を判断する方法をいくつか挙げている。

まず以下のドメイン

  • skmymmeiaoooigke.org
  • bgdjstkwkbhagnp.org
  • ceigqweqwaywiqgu.org
  • smsfuzz.com

との通信は感染の決定的な兆候であり、以下のシステムファイル

  • %windows%\Installer\{4A74FBA7-71A0-BEA1-F538-72E3D519AA4F}\syshost.exe
  • %localappdata%\cygwin1.dll
  • %localappdata%\wuauclt.exe
  • %localappdata%\temp\????????.lnk (16進数表記のランダムな8文字)
  • %localappdata%\temp\????????.exe (16進数表記のランダムな8文字)
  • %localappdata%\temp\vedefuzunwi.exe
  • %programdata%\bbtmp0\jtkyygiu.exe
  • c:\temp\zcompute.exe

等を発見した場合も感染の可能性があるそう。
念のため確認しておこうかな。

それにしてもJavaは本当に穴だらけだな……

via CNET Japan

Footnotes
  1. Bitcoinのマイニングを行うマルウェアは一般的に、感染したPCのリソースを勝手に利用してBitcoinを生成、送金する。 []