2月は検索ベースのマルバタイジング（悪意のある広告）にとって特に忙しい月であり、記録されたインシデント数はほぼ倍増した。同様のペイロードがドロップされたが、検出を回避するのに特に優れた新しいものもいくつか見られた。このブログで追跡しているマルウェアファミリーの一つにFakeBatがある。このマルウェアは、MSIインストーラーに大量に難読化されたPowerShellコードをパッケージングするという点で非常にユニークである。数週間にわたり、このマルウェアを配布するのを手助けするマルバタイザーは、同じURL短縮サービスを悪用していたが、攻撃を予測可能にしていたかもしれない。新しいリダイレクターを実験し、特に正規のウェブサイトを利用してセキュリティチェックを回避することが見られた。

最近のキャンペーンでは、OneNote、Epic Games、Ginger、さらにはBraavosスマートウォレットアプリケーションなど、多くの異なるブランドが標的にされている。これらの悪意のあるドメインの多くは、ロシアに拠点を置くホスターDataLineに見られる。ダウンロードされた各ファイルは、有効なデジタル証明書（Consoneai Ltd）で署名されたMSIXインストーラーである。インストーラーを実行すると、特定のPowerShellスクリプトが実行され、攻撃者のコマンドアンドコントロールサーバーに接続する。興味のある被害者は、さらなる使用のためにカタログ化される。

結論として、FakeBatは人気のあるソフトウェアダウンロードのための悪意のある広告を通じて、ビジネスに対する脅威を続けている。マルウェア配布者はGoogleのセキュリティチェックを回避し、被害者を欺くウェブサイトにリダイレクトすることができる。マルウェアペイロードだけでなく、支援インフラに対しても防御することが重要である。しかし、正規のウェブサイトが使用される場合、ドメインブロックリストを回避するのは常に容易ではない。いつものように、ThreatDown DNS Filterなどのシステムポリシーを介して広告をソースでブロックすることは、マルバタイジング攻撃を止める最も効果的な方法の一つである。

【ニュース解説】

2月は、検索ベースのマルバタイジング、つまり悪意のある広告活動が特に活発だった時期であり、記録されたインシデント数が前月に比べてほぼ倍増したことが報告されています。この期間には、以前にも見られたペイロードが配布される一方で、検出を巧みに回避する新たなマルウェアも登場しました。特に注目されるマルウェアファミリーの一つが「FakeBat」で、このマルウェアはMSIインストーラーに大量に難読化されたPowerShellコードを組み込むという特徴を持っています。

FakeBatの配布に関わるマルバタイザーは、攻撃を予測可能にしてしまう可能性のある同じURL短縮サービスの悪用から、新しいリダイレクターや正規のウェブサイトの利用によるセキュリティチェックの回避へと手法を変化させています。最近のキャンペーンでは、OneNoteやEpic Games、Ginger、Braavosスマートウォレットアプリケーションなど、多様なブランドが標的にされていることが確認されています。

このようなマルバタイジング攻撃は、Googleのセキュリティチェックを回避し、被害者を欺くウェブサイトにリダイレクトすることで、ビジネスに対する脅威を継続しています。マルウェアペイロードだけでなく、それを支援するインフラに対しても防御することが重要ですが、正規のウェブサイトが利用される場合、ドメインブロックリストを回避するのは容易ではありません。

このような状況において、ThreatDown DNS Filterなどのシステムポリシーを介して広告をソースでブロックすることは、マルバタイジング攻撃を防ぐ上で最も効果的な方法の一つとされています。このような防御策は、企業や個人が自身を保護するために積極的に取り入れるべき対策です。

このニュースからわかることは、マルウェア攻撃者が常に新しい手法を模索し、セキュリティ対策を回避するために正規のインフラを悪用することも厭わないという点です。そのため、セキュリティ対策も進化し続ける必要があります。また、正規のウェブサイトが悪用されることは、ウェブサイトの管理者にとっても警戒すべき重要なポイントであり、定期的なセキュリティチェックと脆弱性対策の強化が求められます。

from FakeBat delivered via several active malvertising campaigns.