サイバーセキュリティ · 1 min read · Nov 16, 2025

LOBSHOTマルウェアがGoogle Adsを介して本物のリモート管理ソフトウェアを偽装して拡散

セキュリティ

今年初め、いくつかのサイバーセキュリティ研究者が、Google Adsを使用して検索結果でマルウェアを拡散する脅威アクターの増加を報告しました。

セキュリティ研究者は、LOBSHOTとして知られる新しいマルウェアを発見しました。このマルウェアは、脅威アクターが感染したWindowsデバイスを慎重に乗っ取ることを可能にするhVNCを使用して、Google Adsを介して配布されています。

hVNCは、被害者の知らないうちにマシンを制御するための計算された手段です。

Google Adsキャンペーンは、Trading View、VLC、ZIP、OBC、Notepad++、CCleaner、Rufusなどの多数のウェブサイトを偽装しました。

これらのウェブサイトは実際のアプリケーションを配布する代わりにマルウェアを押し付けましたが、配布されたマルウェアにはRedLine Cobalt Strike、Gozi、Royal Ransomware、SectoRAT、Vidarが含まれています。

セキュリティ企業Elastic Security Labsの報告によると、LOBSHOTマルウェアはGoogle Adsを介して拡散されており、これらの広告キャンペーンは本物のAnyDeskリモート管理ソフトウェアを宣伝していましたが、最終的には偽のAnydiskウェブサイト(https://www.amydecke[.]website)に誘導されました。

このウェブサイトは、ダウンロード -cdn[., a com]からDLLをダウンロードするためのPowershellコマンドを実行する悪意のあるMSIファイルを押し付けます。このドメインは実際にはTA505/Clopランサムウェアグループに関連しています。

読む: Evil Extractor、米国とヨーロッパで混乱を引き起こすデータ窃盗ツール

ただし、Proofpointの脅威研究者トミー・マイジャーはBleeping Computerに対し、ドメインの所有権が過去に変更されたため、TA505が現在も使用しているかどうかは不明だと述べています。

現在、ダウンロードDLLファイルは実際にはLOBSHOTマルウェアであり、C:/ProgramDataフォルダーに保存され、その後RunDLL.32.exeによって実行されます。

Elastic Security Labsは、「昨年の7月以来、500以上のLOBSHOTマルウェアサンプルを観察しました。観察されたサンプルは、通常93 KBから124 KBの範囲の32ビットDLLまたは32ビット実行可能ファイルとして分類されています」と述べています。

LOBSHOT感染チェーン

マルウェアが実行されると、Microsoft Defenderなどのセキュリティソフトウェアが実行中かどうかを確認し、検出された場合は実行を終了して検出を防ぎます。

ただし、ディフェンダーが検出されない場合、マルウェアはレジストリエントリを構成してWindowsにログインしたときに自動的に起動し、感染したデバイスからシステム情報を転送します。これには実行中のプロセスが含まれます。

その後、マルウェアは9つのMicrosoft Edgeウォレット拡張機能、32のChrome暗号通貨ウォレット、11のFirefoxウォレット拡張機能をチェックします。

拡張機能をリストアップした後、マルウェアはC:/Program Dataにあるファイルを実行します。ただし、分析ではそのファイルは存在しないため、セキュリティ企業はそのファイルがデータを盗むために使用されているのか、他の目的のために使用されているのかは不明です。

ただし、暗号通貨拡張機能を盗むことは非常に一般的であり、セキュリティ企業Elastic LabsはLOBSHOTマルウェアにhVNCモジュールが含まれていることを発見しました。これにより、脅威アクターは感染したマシンに静かにアクセスできるようになります。

Elastic Security Labsによると、マルウェアはhVNCモジュールを起動し、脅威アクターがマシンのマウスとキーボードを使用して隠れたデスクトップを制御できるようにします。

この時点で、被害者のデバイスは、脅威アクターによって制御されているリスニングクライアントに隠れたデスクトップを表す画面録画を送信し始めます。

さらに、脅威アクターはクライアントと通信し、キーボードを制御し、マウスを動かし、ボタンをクリックします。これらの能力により、攻撃者は感染したデバイスを完全に制御することができます。

さらに、hVNCを利用することで、攻撃者はマシンを完全に制御できるようになり、コマンドを実行したり、データを盗んだり、さらにマルウェアを展開したりすることができます。

ご存知のように、AnyDeskや類似のリモートアクセスソフトウェアは一般的に使用されており、マルウェアはおそらく企業ネットワークへの初期アクセスを得るために使用され、その後他のマシンに拡散します。

読む: リモートアクセスマルウェアを使用した米国納税者を狙ったフィッシング詐欺

Share: X/Twitter LinkedIn
#サイバーセキュリティ

新しい投稿を受信箱で受け取る

スパムはありません。いつでも購読を解除できます。