トロイの木馬『Buzus』、感染サイトは12万5000以上に

11月下旬に始まった極めて複雑な新型 SQL インジェクション攻撃により、すでに12万5000以上の Web サイトが、クレジットカード情報や銀行口座などの情報を収集することで知られるトロイの木馬『Buzus』に感染している。

インターネットのセキュリティおよび監視を手がける企業 ScanSafe によると、この攻撃はまず、埋め込まれた iframe が「318x.com」というサイトから第1段階の悪質なコードを読み込むのだという。その後、ユーザーからは見えない一連の iframe およびコード リダイレクションが、「windowssp.7766.org」サイトから問題のあるコード「Backdoor.Win32.Buzus.croo」を密かにインストールして完了する。

ScanSafe の上級セキュリティ研究者 Mary Landesman 氏は、9日付の Blog 投稿で次のように述べている。「この攻撃は、未完成の状態だと思われる。われわれは最終段階の攻撃で使用されるマルウェアのスクリプトを監視してきたが、スクリプトの一部には変更や削除が行なわれており、新たに導入されたスクリプトもある」

Landesman 氏によれば、ファイルの多くに「.jpg」という拡張子がついているが、実際は単なる「.js」ファイルだという。さらに「今ではほとんど定番」だと同氏の言う「PDF」形式ファイルの脆弱性を利用した攻撃について、ScanSafe では今のところその証拠を発見していないとも述べられている。PDF の脆弱性を利用した攻撃は昨今、クラッカーやマルウェア悪用者の間で特に好まれている。

その代わり、攻撃者はさまざまな脆弱性に狙いをつけていると ScanSafe は言う。たとえば、『Adobe Flash Player』における整数オーバーフローの脆弱性、『Microsoft Office Web Components』の脆弱性、『Internet Explorer』の初期化されていないメモリの破損の脆弱性などだ。

ScanSafe によると、『Buzus』で最も問題なのは、これが通常 IRC バックドアを通じて遠隔操作され、クレジットカードや銀行口座などに関連した情報の窃盗によく利用されていることだという。厄介で壊滅的な被害をもたらす可能性のある SQL インジェクション攻撃に対して後手後手の対応しかできていない企業にとっては、特に問題となる。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール