ラッキービジター詐欺で使用されるPHPマルウェア - JPCERT/CC Eyes

JPCERT/CCでは、国内のWebサイトが改ざん被害を受け、不正なページが設置される事例を継続して観測しています。これらの事例では、不正に設置されたPHPスクリプト（以下、PHPマルウェア）により、ページにアクセスした訪問者が詐欺サイトや不審な商品販売サイトなどに誘導されることがわかっています。 今回は、複数の調査事例から得られた知見をもとに、国内のWebサイト改ざんで頻繁に見られているPHPマルウェアの詳細について紹介します。 被害事例 PHPマルウェアが設置されたWebサイトでは、アクセスした訪問者を詐欺サイトや不審な商品販売サイトなどに転送する不正なWebページが多数サーバー上に作成されます。図1は、ページにアクセスした際に表示されるラッキービジター詐欺サイトの例です。 図1：転送先の詐欺サイトの例 攻撃者は、コンテンツマネジメントシステム（以下、CMS）の脆弱性を悪用して、PHP

[ockeghem]

あれ、ラッキービジターと言うのですね。マルウェア感染の経路はCMSプラグインの脆弱性等なので、脆弱性の解消が重要で、できれば改ざん検知を入れるとよいです

[rgfx]

なるほどブラウザのUAにgooglebotと書いておけば（／「最終的に表示される無害なページの例」あーー。。

[inazuma2073]

転送スクリプトが仕込まれてたらブラウザで「移動しますか？」って出てくれたらいいのに

[buhoho]

WPプラグインは質悪いの多いからな。簡単に穴が空きそう

[sabotem]

こういうサイト見たことあるけどマルウェア感染してたのか。てっきり「失効したドメイン買って内容を（キャッシュから）全コピ復元してGoogleには保持させつつ普通ユーザーには別内容表示」とかだと思ってた。

[radiocat]

ラッキービジターっていうらしい。そしてPHPの流れ弾感…

[hasegawatomoki]

名前以外に「PHP」出てこなく風評被害感がw

[efcl]

ラッキービジターはPHPマルウェア

[field_combat]

アレか

[raebchen]

なんと、サイトが汚染されてたのか😨パソコンでもiPhoneでも時々出るから、何が原因なのかと思ってた😨

[okaz931]

へえーあれって改竄されてたんだ。元から詐欺サイトなんだと思ってた。

[Shinwiki]

しょっちゅう踏んでるけどなんかやばいのけ？字が多いんじゃ。

[tomoya_edw]

え、2度目は普通に入れるの？

[kvx]

これ一度遭遇しても2回目は普通にアクセスできるから調査もし辛い。大手サイトで出た時はさすがに通報したけど。

[ShionAmasato]

よくGoogleに引っ掛かる詐欺に飛ばされるワードサラダのやつだ / そういう経緯でアホみたいにたくさん沸いてるのね

[fashi]

このマルウェアわざわざ「PHP」って作成言語名付ける意味なくない？

[mohritaroh]

あのポップアップって「ラッキービジター詐欺」って名前がついてたのか