TrendLabs發現泰國 Honda 汽車官方網站遭受攻擊,我們要在此警告想購買 (或只是單純欣賞) 新款 Honda Accord 的使用者，應提防「瀏覽即下載 (Drive-by Download)」攻擊手法，避免暗中被安裝專門竊取資訊的惡意程式。

據發現這波入侵行動的先進資安威脅研究員 Jonell Baltazar 指出，遭受攻擊的網頁 hxxp://www.honda.co.th:80/accord 被植入惡意指令碼標籤 (已被趨勢科技定義為 HTML_IFRAME.QJ)，此標籤會載入一個位於 getanewmazda.info 網域 (相當狡猾的名稱) 之下的網頁。此網頁內含一段指令碼會利用受害者系統上的安全弱點下載並執行特定檔案。下載檔案 (原名為 crypt.exe，下載後會儲存為 c:\winQZfio771.exe) 的偵測名稱為 TSPY_ZBOT.LA。

這次得以發現這一波入侵行動應歸功於我們客戶所安裝的產品內含的回報機制。此一機制能協助我們的系統監控及封鎖可能為惡意性質的網址。在此案例中，瀏覽遭入侵網站的用戶端自動記錄了 HTML_IFRAME.QJ 感染事件，進而防止使用者遭進一步感染。趨勢科技 Web 資安威脅防護技術能防止存取遭入侵網站，避免客戶遭受任何可能的感染。

下圖是 Honda 汽車網站上遭入侵網頁的畫面圖例：值得注意的是，英文與泰文的首頁 (main.html) 都被植入了惡意指令碼。

下載的 TSPY_ZBOT.LA 隨後會再存取另一個網域，下載更多惡意性質的檔案。在本文撰稿時，我們的研究人員發現此網域中儲存了相關的使用者名稱與密碼，顯示這可能是一個網路釣魚網頁，或只是網路罪犯為方便存取竊得資訊的儲存空間。

泰國網站遭入侵的案例已非首見。過去幾個月以來，我們便曾報導數起類似的事件，受波及的包括泰國皇家空軍、Udiya 泰北旅遊資訊及其他許多網站。

對 Honda 汽車而言，這可能只是一起獨立個案，因為只有泰國 Honda 汽車網站被植入惡意指令碼。在本文撰稿時，泰國 Honda 汽車網站已迅速關閉，並設法解決此一問題。

@原文：“Drive-by Download” Takes A More Literal Meaning名符其實的「Drive-by Download (瀏覽即下載)」