この記事が原因でこれらのウイルスで被害を負っても
筆者は一切責任を負いません。
今回調べたもの
今回調べたのは、一見普通のreCAPTCHAにも見えるこの
ウイルス的なものです。
発生箇所
主に、某大企業などのドメインのタイポで、このようなサイトに
行き着くことがあるようです。
認証しようとすると?
認証しようとすると、先ほどの画面に「認証ステップ」と書かれた
手順が表示されます。
解説
このサイトではおそらく、
- ユーザーが「I'm not a robot」ボタンを押す
- クリップボードにWindowsで実行可能な
悪意あるコマンドがコピーされる - ユーザーが「ファイル名を指定して実行」ウインドウに
コマンドを貼り付け、実行する
という手順を踏ませています!
どんなコマンド?
Windowsに搭載されている、HTMLアプリケーションを実行する
「mshta」というコマンドを悪用しているようです。
実際の悪意あるコマンドは、mp3ファイルと見せかけて
scriptタグをバイナリに埋め込み実行させているようでした。
HTMLアプリというのは少し特殊で、
- ローカルファイルへのアクセス
- コマンドの実行
などができるそうです。
対策
対策としては、よくあるものですが
- そもそも、偽サイト等に飛ばされても、すぐにタブを閉じる
- 偽サイトの疑いがあるサイトのコマンドを実行しない
- Windows側がmshtaのセキュリティを高める(そうして欲しい)
参考文献
トレンドマイクロ セキュリティブログ - HTAを利用したワンクリックウエアの新たな手口
最後まで読んでいただきありがとうございます。