マルウェア対策企業Malwarebytesは2025年2月20日、Google広告を悪用した新たなマルウェア配布キャンペーンを発見したと報告した。

攻撃の概要

• 攻撃者はGoogle広告を通じて偽のGoogle Chromeインストーラーを配布
• Google Sitesを中継地点として使用
• 最終的にSecTopRAT（別名：ArechClient2）というマルウェアを感染させる

技術的詳細

• マルウェアの配布サイト：chrome[.]browser[.]com[.]de
• 攻撃者のC2サーバー：45.141.84[.]208
• 攻撃プロセス：
  1. 偽のChromeインストーラーをダウンロード
  2. Windows Defenderの監視を回避
  3. 正規のGoogle Chromeをインストール
  4. 同時にマルウェアを密かにインストール

SecTopRATの機能

• システム情報の窃取
• ブラウザーの保存済みパスワードの収集
• 暗号資産ウォレット情報の窃取
• キーロガー機能
• リモートアクセス機能

同様の手法による攻撃事例

• 2024年9月：Notionインストーラーを装った攻撃
• 2024年10月：NordVPNを装った攻撃（Bing広告経由）
• 2025年1月：Grammarly、Slack、AnyDeskを装った攻撃

Malwarebytesは本事案をGoogleに報告したが、記事公開時点（2025年2月20日）で偽のGoogle Sitesページは依然として稼働中とのことである。

from:SecTopRAT bundled in Chrome installer distributed via Google Ads

【編集部解説】

攻撃手法の巧妙化

今回のマルウェア攻撃は、Googleの信頼性を巧妙に悪用している点が特徴的です。Google広告とGoogle Sitesという2つの正規サービスを組み合わせることで、一般ユーザーの警戒心を巧妙に回避しています。

特に注目すべきは、最終的に正規のGoogle Chromeをインストールする手法です。これにより、ユーザーは自身のPCが感染したことに気付きにくくなっています。

SecTopRATの進化

SecTopRAT（別名：ArechClient2）は2019年から確認されているマルウェアですが、2021年に大幅なアップデートが行われ、より高度な機能を獲得しました。

特筆すべきは、AES256による通信の暗号化やブラウザーログ機能の実装です。これにより、従来の対策ソフトでの検知が困難になっています。

広がる被害の可能性

この攻撃は単なるマルウェア配布に留まらず、より大きな脅威となる可能性があります。攻撃者は同様の手法でNotionやGrammarly、Slack、AnyDeskなど、ビジネスでよく使用されるソフトウェアを装った攻撃も展開しています。

企業への影響

特に注意が必要なのは、財務、経理、営業部門などの重要な役職を標的としている点です4。これらの部門は機密データへのアクセス権を持っているため、情報漏洩のリスクが高くなります。

対策の重要性

この種の攻撃に対する技術的な対策として、以下が重要です

• ソフトウェアは必ず公式サイトからダウンロードする
• 広告ブロッカーの利用を検討する
• セキュリティソフトを最新の状態に保つ

今後の展望

このような攻撃手法は、正規サービスを悪用する「Living off the Land」攻撃の一種と考えられます。今後も同様の手法を用いた攻撃が増加する可能性が高く、ユーザー側の意識向上が重要になってきます。

特に企業においては、セキュリティ教育の強化と、ソフトウェア導入時の承認プロセスの見直しが急務となるでしょう。

【用語解説】

• SecTopRAT (ArechClient2)
  リモートアクセストロイの木馬の一種
  銀行口座情報や暗号資産ウォレットなどの個人情報を窃取する機能を持つ

【参考リンク】

• Malwarebytes
  マルウェア対策に特化したセキュリティ企業
  無料版と有料版のセキュリティソフトを提供

【関連記事】

サイバーセキュリティニュースをinnovaTopiaでもっと読む