Last Updated on 2024-01-26 20:07 by 荒木 啓介
中国語を話すユーザーが、偽のメッセージングアプリを広告する悪意のあるGoogle広告のターゲットになっているという報告があります。このマルバタイジングキャンペーンは、Telegramなどの制限されたメッセージングアプリに関する広告を悪用しており、継続中です。セキュリティ企業MalwarebytesのJérôme Segura氏によると、広告主のアカウントを乗っ取り、ユーザーがリモート管理トロイの木馬(RAT)をダウンロードするページに誘導する広告を作成しています。これらのプログラムにより、攻撃者は被害者のマシンを完全に制御し、追加のマルウェアを投下する能力を持ちます。
この活動は「FakeAPP」というコードネームで、2023年10月にWhatsAppやTelegramを検索する香港のユーザーをターゲットにした攻撃波の続きです。最新のキャンペーンでは、LINEというメッセージングアプリもリストに追加され、ユーザーはGoogle DocsやGoogle Sitesにホストされた偽のウェブサイトにリダイレクトされます。Googleのインフラは、最終的にPlugXやGh0st RATなどのトロイの木馬を展開する悪意のあるインストーラーファイルを配信するために、攻撃者が制御する他のサイトへのリンクを埋め込むために使用されます。
Malwarebytesは、Interactive Communication Team LimitedとRingier Media Nigeria Limitedという名前のナイジェリアに拠点を置く2つの広告主アカウントに詐欺広告を追跡しました。また、攻撃者は新しいペイロードとインフラを絶えず押し出すことで量を重視しているとSegura氏は述べています。
さらに、Trustwave SpiderLabsは、Microsoft 365ユーザーをターゲットにした正規に見えるクレデンシャルハーベスティングページを作成するためのフィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Greatness」の使用が増加していると報告しています。このキットは、送信者名、メールアドレス、件名、メッセージ、添付ファイル、QRコードをカスタマイズすることができ、関連性とエンゲージメントを高めます。また、ヘッダーのランダム化、エンコーディング、難読化などのアンチ検出対策を備えており、スパムフィルターやセキュリティシステムを回避することを目指しています。Greatnessは他の犯罪者に月額120ドルで販売されており、規模を拡大して攻撃を行うための参入障壁を下げています。
攻撃チェーンには、悪意のあるHTML添付ファイルを含むフィッシングメールを送信し、受信者が開くと偽のログインページに誘導され、入力されたログイン情報をキャプチャしてTelegram経由で攻撃者に詳細を抜き取るものが含まれます。他の感染シーケンスでは、添付ファイルを利用して被害者のマシンにマルウェアをドロップし、情報盗難を容易にしています。攻撃の成功確率を高めるために、メールメッセージは銀行や雇用主などの信頼できる情報源を偽装し、「緊急の請求書支払い」や「緊急のアカウント確認が必要」といった件名を使用して緊急性を誘発します。
被害者の数は現時点では不明ですが、Greatnessは広く使用され、サポートされており、キットの操作方法や追加のヒントやコツを提供する独自のTelegramコミュニティを持っています。
また、韓国の企業をターゲットにしたフィッシング攻撃も観察されており、Kakaoなどの技術企業を装ってAsyncRATを配布するために悪意のあるWindowsショートカット(LNK)ファイルを使用しています。AhnLab Security Intelligence Center(ASEC)によると、「正当な文書に偽装した悪意のあるショートカットファイルが継続的に配布されています。ユーザーは、ファイル名に「.LNK」拡張子が表示されないため、ショートカットファイルを通常の文書と間違える可能性があります」と述べています。
【ニュース解説】
中国語を話すユーザーが、Googleの広告を通じて偽のメッセージングアプリをダウンロードするよう誘導されるというマルバタイジング(悪意のある広告)キャンペーンが発生しています。このキャンペーンは、特にTelegramなどの制限されているアプリを求めるユーザーを狙っており、彼らがリモート管理トロイの木馬(RAT)を含む悪質なソフトウェアをダウンロードするよう仕向けています。RATは攻撃者に被害者のコンピュータを遠隔操作させることを可能にし、さらなるマルウェアの投入を許します。
この攻撃は、以前に香港でWhatsAppやTelegramを検索するユーザーを対象に行われたものの延長であり、最新のキャンペーンではLINEアプリも標的に加わっています。攻撃者はGoogle DocsやGoogle Sitesを利用して偽のウェブサイトを作成し、そこからユーザーを制御下にある他のサイトへリダイレクトして、最終的にはPlugXやGh0st RATといったトロイの木馬を配布しています。
このような攻撃は、ナイジェリアに拠点を置く広告主アカウントを通じて行われており、攻撃者は新しい攻撃手法やインフラを絶えず更新しています。また、フィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Greatness」の使用が増加しており、これにより攻撃者はMicrosoft 365ユーザーを狙った説得力のあるフィッシングページを簡単に作成できます。Greatnessは月額120ドルで提供され、攻撃者が大規模な攻撃を行うためのハードルを下げています。
攻撃者は、信頼できる情報源を装ったメールを送り、受信者が添付ファイルを開くと偽のログインページに誘導され、そこで入力された情報が攻撃者に盗まれます。また、韓国の企業を狙ったフィッシング攻撃では、技術企業を装ったWindowsショートカット(LNK)ファイルを通じてAsyncRATが配布されています。
このような攻撃は、ユーザーのセキュリティ意識の重要性を改めて浮き彫りにしています。偽の広告やフィッシングメールによる攻撃は、ユーザーが信頼できると思っているサービスやアプリケーションを装うことで、警戒心を緩めさせることができます。そのため、ダウンロードやログイン情報の入力を求める際には、常にそのソースが正当なものであるかを慎重に確認する必要があります。
また、企業や組織は、従業員に対するセキュリティ教育を強化し、フィッシング攻撃やマルウェアに対する防御策を講じることが求められます。これには、定期的なセキュリティトレーニング、強力なパスワードポリシー、多要素認証の導入などが含まれます。さらに、セキュリティチームは最新の脅威に対する監視を継続し、攻撃を早期に検出し対処する体制を整えることが不可欠です。
このニュースは、インターネット上での広告やサービスの安全性に対する一般の認識を高めるきっかけとなり、サイバーセキュリティの重要性を再認識させるものです。また、広告プラットフォームや検索エンジンは、悪意のある広告を検出し排除するためのシステムを強化する必要があることを示しています。これらの攻撃は、個人のプライバシーとセキュリティだけでなく、企業の信頼性と経済的損失にも影響を及ぼす可能性があるため、その対策は急務と言えるでしょう。
from Malicious Ads on Google Target Chinese Users with Fake Messaging Apps.
