Sucuriは8月18日(米国時間)、公式ブログ「Fake DDoS Pages On WordPress Sites Lead to Drive-By-Downloads」において、侵害されたWordPressサイトで偽の分散型サービス拒否(DDoS)保護ページを利用したマルウェア配布が行われている事例について報告した。

DDoS保護ページは、訪問者が人間であることを確認するために簡単な質問への回答やパスコードの入力などを行わせるページで、スパム防止などの目的としても使われている。今回報告された攻撃手法は、これを悪用してマルウェアをダウンロードさせるというもの。

偽のDDoS保護ページは侵害されたWordPressサイトで見つかったという。標的となったサイトには、偽のDDoS保護プロンプトを表示するための悪意のあるJavaScriptが挿入されていた。このサイトを訪れたユーザーは、サイトのコンテンツを見る前に、DDoS保護のためのポップアップを目にすることになる。指示されたとおりにプロンプトをクリックすると、悪意のある.isoファイルのダウンロードが行われる。

  • 侵害されたWebサイトで表示される偽のDDoS保護プロンプト(引用:Sucuri Blog)

    侵害されたWebサイトで表示される偽のDDoS保護プロンプト 引用:Sucuri Blog

続いてポップアップには、Webサイトにアクセスするための確認コードを取得するために、ダウンロードしたファイルを開くように誘導するメッセージが表示される。しかしこの.isoファイルはトロイの木馬であり、実行した瞬間に悪意のあるプログラムがユーザーのコンピュータにインストールされてしまう。

  • ダウンロードしたファイルを実行させるための確認コードのリクエスト(引用:Sucuri Blog)

    ダウンロードしたファイルを実行させるための確認コードのリクエスト 引用:Sucuri Blog

Webサイトを訪問した際にDDoS保護プロンプトが表示されるのはごく一般的なことであるため、ユーザーは疑うことなくこのプロセスを実行してしまう危険性がある。Sucuri Blogは、この手法による詳細な攻撃手順、インストールされるマルウェアの挙動、そして被害を防ぐためにWebサイトの管理者およびユーザーが実施するべき防御方法などについて詳しく解説されている。