エクスプロイトキット「Fallout」を利用し、旧バージョンのInternet Explorerユーザーの個人情報を入手
サイバー犯罪者は、新型コロナウイルスによる危機的な状況を利用して、利益を得ようとしています。アバストは、サイバー犯罪者が新型コロナウイルスに関連した「マルバタイジング」のキャンペーンを実施していることを発見しました。マルバタイジングとは、マルウェアの拡散や悪質なウェブサイトへの誘導を目的に、悪質なインターネット広告を配布することです。サイバー犯罪者は、悪質な広告をウェブサイトに表示するために、アドネットワークから広告枠を購入しています。彼らは、新型コロナウイルスに関する情報を掲載しているようなウェブサイト名で広告枠を購入しているため、アドネットワークの運用元はそれがサイバー犯罪者であることに気づかず、広告枠を販売してしまうのです。このマルバタイジング・キャンペーンでは、Falloutと呼ばれるエクスプロイトキットが利用されています。Falloutは、旧バージョンのInternet Explorerの脆弱性を利用し、ユーザーに気づかれないまま、個人情報・パスワード盗用ソフトウェアのKpot v2.0をインストールさせています。
Falloutは2018年に初めて検知され、その多くが日本と韓国のユーザーを標的にしてきました。2020年3月26日、マルバタイジングのキャンペーンを行うサイバー犯罪者は、covid19onlineinfo[.]comというドメインを登録しました。その後もアンチウイルスによる検出を回避するため1日に約6つのドメインを登録しており、Falloutがホストするドメインをローテーションして利用しています。
マルバタイジングによる悪質な広告は、ストリーミングサ―ビスのサイトにホストされていることが多く、ユーザーが動画を見るために再生ボタンをクリックすると、多くの場合は自動的に新しいタブが開きます。しかしFalloutは、悪質な広告をホストするサイトを訪問したユーザーが、旧バージョンのInternet Explorerを使用している場合、任意のコード実行につながるAdobe Flash Playerの脆弱性(CVE-2018-15982:2019年1月に修正プログラムがリリース済み)と、複数のWindowsバージョンに影響を与えるVBScriptエンジンのリモート実行の脆弱性(CVE-2018-8174:2018年5月に修正プログラムがリリース済み)を悪用することで、ユーザーのコンピュータにアクセスしようと試みます。アクセスが試行されれば、Internet Explorerがクラッシュする可能性が生じます。この段階まで、ユーザーは異変に気づくことができません。
従来のエクスプロイトキットは、様々な個人情報・パスワード盗用ソフトウェアやトロイの木馬を用いてコンピュータを感染させていました。現在は個人情報・パスワード盗用ソフトウェアのKpot v2.0が拡散されており、コンピュータ名、Windowsユーザー名、IPアドレス、デバイスにインストールされているソフトウェア、マシンのGUIDなどの基本情報を盗み、コマンド&コントロール(C&C)サーバに送信しようと試みています。
そして、マルウェアはパスワードや他のファイルを盗み続けます。Kpotを分析したProofpointの研究者によると、C&Cサーバからマルウェアに、以下のコマンドが送信される危険性があるようです。
2020年4月14日時点で、アバストは全世界の96,278人のユーザーを標的とした178,814件の攻撃を阻止しています。国別の攻撃試行数と標的となったユーザー数は、以下の通りです。
国名 | アバストが阻止した攻撃試行数 | 攻撃の標的となったユーザー数 |
カナダ | 37,342 | 12,496 |
米国 | 30,001 | 13,930 |
日本 | 17,306 | 8,438 |
スペイン | 15,484 | 9,609 |
イタリア | 10,494 | 6,648 |
オーストラリア | 6,222 | 2,780 |
ブラジル | 5,833 | 4,051 |
フランス | 5,813 | 4,183 |
トルコ | 3,900 | 2,568 |
ドイツ | 3,331 | 2,452 |
アバストからのアドバイス:
この記事は2020年4月16日に公開されたMalvertising Campaign Taking Advantage of COVID-19 Targeting Internet Explorer Users to Steal their Informationの抄訳です。
1988 - 2021 Copyright © Avast Software s.r.o. | Sitemap プライバシーに関する方針