以下省略!

タイダルウ(ry 毎日1記事執筆運動実施中。

SolveMediaのCAPTCHAでついに恐れていたこと「マルウェア配布サイトへのリダイレクト」が起きてしまった件について ※一時的だったっぽい?

8月に、SolveMediaのCAPTCHAを利用しようとするとページに表示されている広告が特定の広告に差し替わる現象が起きていると書いた。現在も一部サイトのSolveMediaでAmazonの広告に差し替わる現象が起きている。

広告強制差し替えはいろんな意味(セキュリティ的な意味も含む)でアカンのでやめて欲しいのだが…

SolveMediaのCAPTCHAでページに表示されている広告が特定の広告に差し替わる謎現象が発生 - 以下省略!

この記事で、差し替えはアカンという事も書いたが、ついに懸念されていたことが起きてしまった。そう、悪意のあるサイト(マルウェア配布サイト)への強制リダイレクトだ。

f:id:abyssluke:20151030165954p:plain:w200:leftSolveMediaのCAPTCHAのパターンの1つに「PLAYボタンを押してCAPTCHAを表示」があるが、そのボタン(PLAY)を押すとブラウザのアップデートを促す、画像のようなのページに飛ぶ場合がある。このページはブラウザによって表示が若干変わるが、ダウンロードボタンを押すとブラウザにかかわらず同じupdate.exeがダウンロードされる。

で、このファイルの分析結果がこちら:VirusTotal,Malwr
NSISでパッケージングされていて、実行するとファイルが展開されて中に入っているソフトウェアが自動起動されるように設定される模様。

配布されているupdate.exeをPeaZipで展開し、中に入っていたファイルを分析したところKomodia Redirector SDKという、HTTPSでの通信内容を傍受できてしまうもの*1が含まれている可能性があると表示された。
参考:N1LSP.exeの分析結果N1Service.exeの分析結果JVNVU#92865923: Komodia Redirector がルート CA 証明書と秘密鍵をインストールする問題

もしかするとこれはSuperfishの一種で、フィッシング詐欺やID/PWを盗み取る事などに使われる恐れがあるマルウェアですね…(細かくは調べてないけど)
念の為PCがSuperfishなどの類の影響を受けているかどうかの診断サイトのリンク貼っておきますね: Superfish, Komodia, PrivDog vulnerability test

SolveMedia(SolveMediaに広告を配信している業者も含む?)はこういったサイトにリダイレクトされる物が配信されていることを自覚し早急に対処して欲しいものである。というか広告差し替え(ハイジャック)とかやめれ

※2015/11/01 19:20追記
今日のfaucet巡回ではマルウェアサイトへの強制リダイレクト、及び広告ハイジャックは確認できなかった。やはりマズイから引っ込めた?

*1:SSL Digestorというモジュールが入っていることが必要だが

実験中:よい子は次のアドレスにメールを絶対に送らないでください。場合によっては晒しあげされますよ。 ivyrush+htnb.20170313@rita-ch.com viande@rita-ch.com