Last Updated on 2024-07-03 05:10 by admin

Microsoft Bingの検索エンジンを通じて、NordVPNを装った悪意のある広告が発見された。この広告は、ユーザーを騙してSecTopRATと呼ばれるリモートアクセストロイの木馬をインストールさせる目的で設計されている。悪意のある広告は、Bingで「nord vpn」と検索すると表示され、URLスニペットに怪しいURLが含まれている。ドメイン名nordivpn[.]xyzは2024年4月3日に作成され、公式のNordVPNの名前に似ているため、注意深く見ていないユーザーを騙す可能性がある。この広告URLは、偽のウェブサイトへのリダイレクトメカニズムとして使用され、この場合、besthord-vpn[.]comにリダイレクトされる。このウェブサイトは非常に説得力があり、被害者はそこからアプリをダウンロードすることになる。しかし、実際にはDropboxからインストーラーを直接ダウンロードできる点が正規のNordVPNと異なる。

ダウンロードされたファイルはNordVPNSetup.exeと呼ばれ、公式のベンダーからのものであるかのようにデジタル署名されているが、署名は無効である。このファイルにはNordVPNのインストーラーとマルウェアのペイロードが含まれている。インストーラーは被害者に実際に正規のファイルをインストールしているという錯覚を与えるが、ペイロードはMSBuild.exeに注入され、マルウェア作者のコマンドアンドコントロールサーバーに接続する。このネットワークトラフィックは、SecTopRATの別名であるArechclient2 Backdoorとして検出される。

この悪意のある広告と関連するインフラストラクチャはMicrosoftに報告され、業界パートナーと協力してこのキャンペーンを取り下げる作業が行われている。

【ニュース解説】

Microsoft Bingの検索エンジンを利用した際に、NordVPNと偽装した悪意のある広告が発見されました。この広告は、ユーザーを騙してSecTopRATというリモートアクセストロイの木馬をインストールさせることを目的としています。このような攻撃手法は、一見正規の広告やウェブサイトと見分けがつかないほど巧妙に作られており、ユーザーが安全だと信じてダウンロードすることで、マルウェアを無意識のうちにインストールしてしまいます。

この事件の背景には、検索エンジンを利用した広告（検索広告）が、サイバー犯罪者によって悪用されるリスクがあることが示されています。特に、Microsoft Bingのような大手検索エンジンは、その広範なユーザーベースとWindowsエコシステム、Edgeブラウザとの密接な関係により、攻撃者にとって魅力的なターゲットとなっています。

SecTopRATというマルウェアは、被害者のコンピュータにリモートからアクセスし、機密情報を盗み出したり、システムを不正に操作することが可能です。このようなリモートアクセストロイの木馬は、サイバーセキュリティにとって大きな脅威となります。

この事件から学ぶべき重要な教訓は、インターネット上でソフトウェアをダウンロードする際には、常に公式のウェブサイトや信頼できるソースからのみダウンロードすることの重要性です。また、URLが正規のものであるかどうかを慎重に確認し、疑わしい場合はダウンロードを避けるべきです。

この事件は、サイバーセキュリティの観点から見ると、検索エンジンや広告プラットフォームの運営者に対して、広告の安全性を確保するためのさらなる対策を講じる必要があることを示唆しています。また、ユーザー自身も、インターネットを利用する際には常に警戒心を持ち、セキュリティ対策を怠らないことが求められます。

長期的な視点で見ると、このようなマルウェア攻撃の増加は、インターネットの安全性と信頼性を損なう可能性があり、個人ユーザーだけでなく、企業や政府機関にとっても深刻なセキュリティリスクとなり得ます。したがって、サイバーセキュリティの強化とユーザー教育の推進が、今後ますます重要になってくるでしょう。

from Bing ad for NordVPN leads to SecTopRAT.

admin

See Full Bio