WordPressサイトから偽のChromeアップデート配信、341のWebサイトが侵害

画像提供：マイナビニュース

Sucuriは6月5日(米国時間)、「Hundreds of Websites Targeted by Fake Google Chrome Update Pop-Ups」において、WordPressサイトを侵害して偽のGoolge Chromeアップデートを配信するキャンペーンを確認したとして、注意を呼びかけた。この攻撃は4月下旬から確認され、少なくとも341のWebサイトが影響を受けたとみられている。

○偽のGoolge Chromeアップデート

Sucuriによると、今回確認されたキャンペーンでは、偽のGoogle Chromeアップデートのポップアップ表示を通じて悪意のある「GoogleChrome-x86.msix」をダウンロードさせるという。Sucuriはこのファイルの詳細に触れていないが、通常、偽のWebブラウザアップデートからは情報窃取マルウェアや遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)が配布される。

現在、このキャンペーンで使用されたダウンロードサーバは機能しておらず、このファイルを取得することはできない。しかしながら、侵害されたWordPressサイトは少なくとも341件存在することが確認されている。SucuriはWordPressサイトの運営者に対し、Webサイトセキュリティチェッカー「Website Security Checker | Malware Scan | Sucuri SiteCheck」を使用して侵害の有無を確認するように推奨している。

○WordPressサイトの侵害

このキャンペーンでは脆弱なWordPressサイトを侵害し、プラグイン「Hustle – Email Marketing, Lead Generation, Optins, Popups – WordPress plugin | WordPress.org」をインストールすることが確認されている。このプラグインにはWebサイトにポップアップ表示やオプトインフォームを追加する機能があり、このポップアップ表示を使うためにインストールされる。

なお、Sucuriは今回の攻撃で使用されたWordPressサイトへの侵入方法を公開していない。しかしながら、過去の同様の攻撃においては脆弱なパスワードを設定しているWebサイトに対し、パスワードスプレー攻撃などを使用して侵入したケースが報告されており、今回も同様の方法が使用されたと推測される。
○Webサイトの防御策