マイクロソフトは、世界中で100万台以上のデバイスに影響を与えたとされる大規模なマルウェア広告キャンペーンについて警告している。
このキャンペーンは、違法なストリーミングサイトから始まり、ユーザーを中間サイトに誘導し、そこからGitHubや他のプラットフォームにリダイレクトされる。
GitHubは初期アクセスペイロードの配布に利用され、Lumma StealerやDoeneriumなどのマルウェアが展開され、システム情報を収集する。攻撃は消費者用と企業用のデバイスの両方に影響を及ぼしており、無差別性が特徴だ。
from:Microsoft Warns of Malvertising Campaign Infecting Over 1 Million Devices Worldwide
【編集部解説】
マイクロソフトが警告したマルウェア広告キャンペーンは、世界中で100万台以上のデバイスに影響を与えたとされています。このキャンペーンは、違法なストリーミングサイトから始まり、ユーザーを中間サイトに誘導し、そこからGitHubや他のプラットフォームにリダイレクトする複雑な手法を使用しています。GitHubは初期アクセスペイロードの配布に利用され、Lumma StealerやDoeneriumなどのマルウェアが展開され、システム情報を収集します。
このキャンペーンは、消費者用と企業用のデバイスの両方に影響を及ぼしており、攻撃の無差別性が特徴です。特に、信頼されるプラットフォームを利用してマルウェアを配布する手法は、ユーザーにとって警戒が必要です。企業や個人ユーザーは、不正な広告やリンクに注意し、適切なセキュリティ対策を講じることが重要です。
技術的詳細とリスク
このキャンペーンでは、複数のステージで攻撃が進められます。最初のステージではデバイスへの侵入が試みられ、その後、システムの調査や情報収集が行われます。さらに、NetSupport RATやAutoITスクリプトを使用してデータの盗難を進め、PowerShellスクリプトを活用してセキュリティソフトの回避やデータのダウンロードを行います。また、PowerShellやJavaScriptなどのLOLBAS(Living Off the Land)ツールを利用して、正常なシステムプロセスと見分けがつかないようにする手法も使用されています。
このような手法は、攻撃者が信頼されるプラットフォームを利用してマルウェアを配布することで、ユーザーの警戒心を低下させる効果があります。また、複数のステージで進められる攻撃は、セキュリティ対策を回避しやすく、潜在的なリスクが高まります。
将来への影響と対策
このようなマルウェア広告キャンペーンから自分自身を守るためには、不正な広告やリンクに注意し、最新のセキュリティソフトを使用することが重要です。また、信頼できるサイト以外のダウンロードやインストールは避けるべきです。常に最新の情報を得て、セキュリティ対策を強化することが必要です。
また、企業や組織は、従業員に対してセキュリティ意識を高めるための教育やトレーニングを提供し、内部ネットワークのセキュリティを強化する必要があります。さらに、政府や業界団体は、デジタル広告の安全性を向上させるための規制やガイドラインを整備することが求められます。
このキャンペーンは、デジタル広告の安全性に対する懸念を再び浮き彫りにしました。マルウェア広告が広範囲に影響を及ぼす可能性があるため、ユーザーだけでなく、広告業界全体が警戒し、対策を講じる必要があります。
【用語解説】
Lumma Stealer:
MaaS型のインフォスティーラーで、仮想通貨ウォレットやブラウザ拡張機能から情報を窃取します。
NetSupport RAT:
正当なリモートデスクトップツールの悪意のある派生物で、データ収集に使用されます。
AutoIT:
Windows用のプログラミング言語で、GUI自動操作が可能です。マルウェアに利用されることもあります。
マルバタイジング(Malvertising):悪意のある広告を通じてマルウェアを拡散する手法。
インフォスティーラー(Info Stealer):ユーザーの機密情報を盗み出すマルウェアの一種。
RAT(Remote Access Trojan):攻撃者が遠隔から被害者のコンピュータを操作するためのトロイの木馬型マルウェア。
LOLBAS(Living Off the Land Binaries and Scripts):既存の正規のシステムツールを悪用して攻撃を行う手法。