パスワードを忘れた? アカウント作成
13170954 story
Chrome

Google Chromeの追加フォントダウンロードに見せかけた攻撃が確認される 9

ストーリー by headless
偽物 部門より
Google Chromeで必要なフォントが見つからないなどと表示して、Windowsユーザーにマルウェアをインストールさせようとする攻撃が確認されている(NeoSmartのブログ記事The Next Webの記事Neowinの記事Softpediaの記事)。

攻撃の内容としては、JavaScriptを使用してページ内のテキストを文字化けしたように見せかけ、正しく表示するには「Chrome Font Pack」を更新する必要があるとのプロンプトを表示するというもの。プロンプトには現在使用しているChromeのバージョンが反映されておらず、クローズボタンがプロンプトの内部にあるといった問題はあるものの、不足しているというフォントは実在のフォントであり、プロンプト内のテキストや配色なども本物らしい仕上がりとなっている。

しかし、「Update」ボタンをクリックすると攻撃のクオリティは急激に低下するという。プロンプトはインストール手順を説明する内容に切り替わるが、実行するよう指示されるファイルと実際にダウンロードされるファイルの名前が異なる。しかも、Chromeのダウンロードバーには「一般的にダウンロードされておらず、危険を及ぼす可能性」があるとの警告が表示される。また、説明で使われている警告ダイアログボックスの画像は別の実行ファイルのもので、ファイル名や発行者名の部分にぼかしがかけられている。

ただし、Chromeは危険性に関する警告を表示するにとどまり、ChromeもWindows Defenderもマルウェアとは認識しないという。VirusTotalのスキャン結果では59本のセキュリティソフト中、このファイルをマルウェアと認識したのは9本にとどまる。この攻撃を発見したNeoSmart TechnologiesのMahmoud Al-Qudsi氏は、Chromeのセーフブラウジング機能でブロックできるよう、このファイルのコピーをChromeのセキュリティチームに送っているとのこと。なお、Al-Qudsi氏はクラックされたWordPressサイトをブラウズしているときにこの攻撃を発見したそうだ。
  • by Anonymous Coward on 2017年02月25日 16時20分 (#3167258)

    違法なダウンロードサイトからリンクされていることが多いのだけれど、
    Windows Updateに見せかけたサイト、
    セキュリティー警告でアップデートをダウンロードさせようとするサイト、
    ドライバーが古いとしてアップデートさせようとするサイト、
    Edge,IE,Chromr,Firefoxのプラグインをアップデートするように求めるサイト、
    手を変え品を変えいろいろあるものである。
    ひどいのになると、全画面表示したうえで、Alt+F4でもクローズできないものを延々と繰り返し表示するものまである。
    正規のサイトがクラックされてダウンロードボタンに仕込まれていた例もあるようだから、性質が悪い。

    WindowsのSmartScreenで引っかかるサイトって、結構な数の被害者が出た後でないと規制されてないようだね。
    まあ、検索サイトの上位に表示されたからといっても安心できないよなあ。

    そもそも、違法ダウンロード目的で徘徊するなというのは言うまでもないことだがね。

    ここに返信
    • by Anonymous Coward

      お詳しいですね

    • by Anonymous Coward
      違法DLサイトとわかっていて騙されるならまだしも、フリーソフトのオフィシャルかのような顔して、マルウェア入りzipを配布してたりするからなぁ。
      探しているソフトが有料なのか無料なのかもわからん人はわからんだろうし、気付かずにDLしちゃってる人もいそう。
  • by Anonymous Coward on 2017年02月25日 13時52分 (#3167209)

    この問題の本質はフォントじゃないので、何とも言いようがないですね。リテラシの問題かと。ウィルスソフトもトロイはどうしようもない。

    ここに返信
    • by Anonymous Coward

      Socket使うプログラムは
      自己申告のホワイトリスト制を導入したらいいと思うんだよ
      小難しいデベロッパ登録等は無しで
      プログラム名称、版数、挙動と改竄検出方法をOS側のサーバに登録できるようにしてさ

      広告収入や情報ビジネスに結びつけるためにそこんとこアヤフヤにしときたいOS側の意向が邪魔するかもしれんけど

      • by Anonymous Coward

        socketでも待ち受けする場合は許可するか聞かれるけどね

    • by Anonymous Coward

      攻撃する側は一番弱いところを突けば良いんだからね。
      セキュリティソフトがそれなりにガードを固めるなら、そんなところは無視して、弱いユーザを誘導して止めさせれば済む。

      結局、ユーザが賢くなるか、賢くないユーザからは権限を取り上げるかしかない。

  • by Anonymous Coward on 2017年02月25日 14時04分 (#3167212)

    むしろ多い方じゃない?出始めのやつなんて2,3本くらいじゃ?ウィルス対策会社はVirusTotalに提供しているエンジンは劣化版だからって苦しい言い訳してるけど、MyDoomくらい古いやつじゃないと全部黒判定なんてならないよ。

    ここに返信
  • by Anonymous Coward on 2017年02月26日 3時52分 (#3167428)

    結局はユーザー数の多少でしかなかった

    ここに返信
typodupeerror

Stay hungry, Stay foolish. -- Steven Paul Jobs

読み込み中...