Sucuriは10月25日(米国時間)、「FakeUpdateRU Chrome Update Infection Spreads Trojan Malware」において、Google Chromeのアップデートを装う偽のアップデートによって感染するマルウェア「FakeUpdateRU」の分析と対策を伝えた。最近、このマルウェアの大規模な発生をMalwareBytesのセキュリティ専門家が確認したという。
Sucuriによると、FakeUpdateRUは、遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)とされる。このマルウェアは標的型ランサムウェア攻撃の初期段階に使用される傾向があり、個人、企業に莫大な損害を負わせているという。Googleはすでにこのマルウェアの配布に使用されたドメインのほとんどをブロックしており、Chromeのユーザーはこれらサイトにアクセスするとブラウザから警告されるとのこと。
この攻撃ではマルウェアの配布のために、侵害したWebサイトのindex.phpファイルを改竄することが確認されている。この侵害されたWebサイトにアクセスしたユーザーは、Chromeの更新が必要とする下図のような悪意のあるオーバーレイ画面を閲覧することになる。この画面のUpdateボタンをクリックすることで、マルウェアがダウンロードされる。
Sucuriはこのような攻撃からWebサイトを保護するために、Webサイト管理者に次のような対策を推奨している。
- Webサイトのプラグインとテーマを定期的に最新の状態に更新し、Webサイト全体と管理画面(WordPressであればwp-admin)を保護する処置を講じる
- 定期的にWebサイトをバックアップする
- Webサイトをファイアウォールの内側に設置する
すでにWebサイトが侵害されている可能性がある場合は、専門のセキュリティ企業または組織へ相談することが推奨されている。この攻撃では主にWordPressサイトが侵害される傾向にあるとされるが、他のCMS(Content Management System)プラットフォームでも影響が見られるとして注意を促している。
今回はGoogle Chromeのユーザーが標的となっているが、Google Chromeに限らずソフトウェアは公式サイトからダウンロードすることが推奨される。Webサイトにアクセスした際にブラウザの更新を求められてもそのままダウンロードせず、公式サイトでアップデートを確認することが望まれている。