攻撃者が正規のソフトウェアサイトをコピーしてGoogle広告プラットフォームを通じてマルウェアを拡散

フィッシング

Google広告プラットフォームを悪用して、これらの人気ソフトウェア製品をダウンロードしようとしている無知なユーザーにマルウェアを配布する脅威アクターの数が増加しています。

脅威アクターは、これらのソフトウェア製品の公式ウェブサイトを複製し、ユーザーがダウンロードボタンをクリックすると、トロイの木馬が含まれたバージョンを広めます。

脅威アクターが標的にしているソフトウェア製品は以下の通りです – Grammarly、Malwarebytes、μTorrents、AnyDesk、MSI Afterburner、Slack、Thunderbird、OB.S、Ring、Libre Office、Brave、Dashlane、Teamviewer、Audacity。

被害者のコンピュータに侵入した悪意のあるソフトウェアの一部には、Vidar SteelerのカスタムバージョンであるRacoon StealerやIceIDマルウェアローダーのバリアントが含まれています。

1ヶ月前、私たちはMSI Afterburnerキャンペーンを取り上げ、RedLineマルウェアに感染したユーザーについて報告しました。また、Bleeping Computersの報告によると、最大200のドメインがソフトウェア製品をコピーする大規模なタイポスクワッティングキャンペーンがあったとのことです。

被害者がどのようにしてこれらのウェブサイトにたどり着いたのかは明らかではありませんが、TrendMicroやGuardio Labsなどの複数のセキュリティ企業の報告によると、脅威攻撃者はGoogle広告キャンペーンを実施することで広範なユーザーベースにアプローチしたと説明しています！

Google広告プラットフォームは、広告主が自分のウェブサイトやページを宣伝し、検索結果の上部に表示させることができるサービスで、しばしば製品の公式ウェブサイトの上に表示されます。

これは、広告ブロッカーを使用していないユーザーや広告ブロッカーをオフにしているユーザーが、そのプロモートされたウェブサイトを最初に目にし、実際の検索結果としてクリックすることを意味します！

脅威アクターは、Googleの自動チェックを回避するためのトリックを適用し、Googleがランディングページが悪意のあるものであることを発見した場合、広告キャンペーンはブロックされ、広告は削除されます。

現在、GuardioLabsとTrendMicroによると、脅威攻撃者が使用するトリックは、被害者に広告をクリックさせ、無関係だが無害なウェブサイトに誘導し、その後、攻撃者が作成した悪意のあるウェブサイトにリダイレクトすることです。

キャンペーンで使用された偽のランディングページ

ターゲットユーザーが複製されたウェブサイトを訪れると、サーバーは直ちに彼らを不正なウェブサイトにリダイレクトし、そこから悪意のあるペイロードに誘導されるとGuardioLabsは述べています。

さらに、これらの不正なウェブサイトは訪問者には見えず、実際のプロモーションフローから到達せず、クローラー、偶発的な訪問者、ボット、Googleポリシーの執行者には無関係なウェブサイトです。

ペイロードはZIPファイルとして提供され、GitHub、Dropbox、またはDiscord CDNなどの正当なウェブサイトからダウンロードされ、ターゲットコンピュータ上のアンチウイルスがダウンロードに異議を唱えないようにしています。

マルウェア注入フロー

セキュリティ企業によると、彼らが11月に発見したキャンペーンでは、脅威攻撃者がRacoon Stealerを含むトロイの木馬が入ったGrammarlyのバージョンにユーザーを引き寄せました。

マルウェアは元のソフトウェアと一緒に提供されるため、ユーザーは正当なソフトウェアとともに、静かにインストールされるマルウェアを手に入れます。

TrendMicroの報告によると、IceIDキャンペーンでは、攻撃者がKetaroトラフィックシステムを利用して、ウェブサイトを訪れているユーザーが本当に被害者か研究者かを検出し、その後リダイレクトが行われます。このTDSの脆弱性は2019年から存在しています。

さて、これを踏まえると、プロモートされた検索結果は、すべての正当性要素を持っているため、偽のものとして識別するのが難しいことがよくあります。これらの広告キャンペーンをブロックする方法の1つは、ブラウザで広告ブロッカーを有効にすることで、プロモートされた検索結果をフィルタリングすることです。

もう1つの方法は、ダウンロードしたいソフトウェア製品のドメインが表示されるまでウェブページをスクロールダウンすることです。

読む: RiseProマルウェアがパスワード、クレジットカード情報、暗号通貨ウォレットを盗む

新しい投稿を受信箱で受け取る