偽「Flash Player」更新サイトへの誘導、国内から1万7000件超

広告によって表示された警告画面では、ページの閲覧にあたりアップデートが必要だと見せかけ、誘導先の偽サイトで「Adobe Flash Player」のインストーラに見せかけてマルウェアを配布していた。

これまでもシマンテックが、マルウェアによって「GUID」「ハードディスクのシリアル番号」「MACアドレス」などを窃取ことを明らかにしているが、トレンドマイクロの調査では、アドウェア「DOWNWARE」の亜種が配布されていたという。

「DOWNWARE」は、インストールした台数に応じて支払われるアフィリエイト報酬（PPI）を獲得するために活動するマルウェアで、実行すると、Flash Playerではなく「FLV Player」のインストール画面を表示するという。

またファイルのデジタル署名はAdobeのものではなく、PPIのインストーラなどを提供している会社のものだった。

アドウェアは実行された時点でMACアドレスなど感染PCの情報を外部に送信するが、今回の攻撃に関しては、クレジットカードなどの重要情報を送信する活動は確認されなかったという。

また同様の手口が、2014年1月から2月にかけて北米やオーストラリアでも確認されており、国内にも拡大したかたちだ。「Internet Explorer」や「Java」偽装する手口もあるとして、同社では注意を呼びかけている。

（Security NEXT - 2014/06/25 ）ツイート