シマンテック、「Gumblar」攻撃の新しいスクリプトを注意喚起

いわゆる「Gumblar」の攻撃では、攻撃者が用意したWebサイトにユーザーを誘導し、マルウェアをダウンロードさせる

　シマンテックは12日、通称「Gumblar」（ガンブラー）の攻撃に関する分析の結果を公表した。

　シマンテックでは、2009年12月から被害が相次いでいる攻撃においては、Webサイトに貼りつけられる不正なJavaScriptとして「/*GNU GPL*/」「/*CODE1*/」から始まる2種類のスクリプトが確認されていたが、改ざんされていたサイトの1つが最近になって「/*LGPL*/」から始まる新たなスクリプトに書き換えられていたことを確認したという。

　新たなスクリプトは、難読化を解除すると「http://実際のサイト:8080/51job.com/（中略）/google.com/」といったURLが確認でき、攻撃者は良く知られているドメイン名をURLを使うことで、保護メカニズムを迂回しようとしていることが読み取れるという。実際のサイトは「thechocolateweb.ru」というサイトで、その他のサイトは関係ない。

　攻撃の仕組みは2009年からそれほど変化は無く、ユーザーが改ざんされたサイトにアクセスすると、不正なJavaScriptによって別のJavaScriptが読み込まれる。2番目のJavaScriptは2つのリンクを含むiframeページを開き、1つは「Trojan.Pidief.H」または「Bloodhound.Exploit.288」として検出される不正なPDFファイルへのリンク、もう1つは「Downloader」として検出される不正なJAR（Java ARchive）ファイルへのリンクになっている。

　これら2つのファイルは、Adobe Reader/Acrobatに関する脆弱性と、Javaに関する脆弱性を利用してPCへのマルウェア感染を試みる。また、Adobe Reader/Acrobatの脆弱性については、現時点で未修正の脆弱性も含まれている。Adobeでは、米国時間1月12日に修正パッチを提供する予定としているため、それまでの間はAdobe Reader/AcrobatのJavaScriptを無効にしておくことを検討してほしいとしている。

　こうしてPCに侵入したマルウェアは、最終的に「Trojan.Bredolab」「Trojan.Zbot」などのマルウェアや、偽セキュリティソフトなどをPCにインストールする。シマンテックでは、新しい不正なJavaScriptをはじめ、同様のコードを含むスクリプトを汎用的に検出するウイルス定義「Trojan.Malscript.B」をリリースしており、ウイルス定義ファイルは頻繁に更新されているため、常に最新の状態を保つよう注意してほしいとしている。

　シマンテックでは、年末年始にかけての攻撃は、2009年5月に流行した「Gumblar」との関連性は低いと見ているという。一般的に「Gumblar」と言われているものは、攻撃者が用意したWebサイトにユーザーを自動的に誘導してマルウェアをダウンロードさせる攻撃手法で、元々は転送されるURLが「gumblar.cn」というサイトであったことから付いた名称だと説明。今回の攻撃では、転送先のURLが頻繁に変更され、それに伴って攻撃コードやダウンロードされるマルウェアが多種に及ぶ可能性があり、すべての攻撃が同じURLへのアクセスや同じマルウェアをダウンロードしているわけではないことに難しさがあるとしている。

　また、シマンテック傘下のメッセージラボジャパンも8日、Gumblarに関する調査結果を公表した。メッセージラボが捕捉してブロックしたWebサイトのうち、Gumblarの攻撃によるものは10月には1日平均41件だったが、11月には平均843件に増加。ピークの11月19日には3985件のサイトをGumblarに感染しているとしてブロックしており、これはメッセージラボがブロックしたサイト全体の60.1％に上ったという。