米国 Symantec の公式 Blog によると、日本の大手出版社の Web サイトに、悪用ツールキットがホストされている別の Web サイトに誘導する悪質な「iframe」(HTML 作成時に使用される文字列)がインジェクトされていたそうだ。

この悪質な iframe は複数のページにわたって存在し、ホームページにも仕掛けられていたそうだ。

日本の大手出版社 Web サイト、悪用ツールキットに利用される
攻撃のシナリオ

シマンテックの遠隔測定によると、最初の被害者がサイトにアクセスしたのは、太平洋標準時の2014年1月5日22時(日本標準時では2014年1月6日15時:00)頃。また、このセキュリティ問題が修正されたのは、太平洋標準時1月8日遅く(日本標準時1月9日夕方以降)になってから。

ユーザーが出版社のサイトにアクセスするとすぐに、悪質な iframe は悪用ツールキットがホストされた別の Web サイトを読み込む。悪用ツールキットは Gongda であると特定されており、今回の攻撃では5つの脆弱性を悪用していたという。

脆弱性の悪用に成功すると、Infostealer.Torpplar がダウンロードされるが、これは、日本のユーザーから情報を盗み出すために作成されたマルウェア。オンラインバンキングやクレジットカードサイトを含む日本語 Web サイトがウィンドウに表示されているかどうか、監視する。