トレンドマイクロは8月26日、2014年7月後半以降、「FlashPack」として知られるエクスプロイトキットを利用した攻撃が、日本のユーザーに損害を与えていることを報告し、注意を促した。このエクスプロイトキットは、感染活動にスパムメールやWebサイトの改ざんを利用せず、改ざんされたWebサイト用のアドオンを使用していた。
このWebサイト用アドオンは、Webサイトの所有者が、ソーシャルメディアの共有ボタンをWebサイトに追加したい場合に使用する。サイト管理者はWebサイトのデザインテンプレートにJavaScriptのコードを複数行追加するだけで良く、問題のアドオンを提供するWebサイトから自由に取得することができる。
分析によると、このスクリプトは不正な目的に利用されていることがわかり、あるWebサイトでは、本来のアドオンのスクリプトの代わりに「FlashPack」のスクリプトに誘導されていた。
今回の攻撃事例のうち少なくとも1つは、Adobe Flash Playerに存在した脆弱性「CVE-2014-0497」が利用されていた。この脆弱性は、2014年2月に修正プログラムが公開されていたものだ。
トレンドマイクロでは、「TROJ_CARBERP.YUG」として検出される不正プログラムが、この脆弱性の影響を受けたPCにダウンロードされたのを確認しているという。
今回の攻撃自体は、圧倒的に日本のユーザを標的としている。少なくとも約6万6千人のユーザがこの攻撃の影響を受けており、全体の約87%が日本からのユーザであった。このエクスプロイトキットの誘導先のページは、チェコ共和国、オランダ、ロシアのサーバにホストされていた。