Last Updated on 2024-01-26 15:22 by 荒木 啓介
【ダイジェスト】
中国語を話すユーザーをターゲットにした悪意のある広告キャンペーンが、人気のメッセージングアプリケーション、例えばTelegramやLINEなどのダウンロードを装い、実際にはマルウェアを配布していることが明らかになりました。これらのソフトウェアは中国では大きく制限されており、過去には禁止されていたこともあります。Googleのサービスも、中国本土では制限されているか、大幅に検閲されています。
中国のユーザーは、これらの制限を回避するためにVPNなどのツールを使用することがありますが、脅威の主体はGoogleの広告アカウントを悪用して悪意のある広告を作成し、何も知らないユーザーがリモート管理トロイの木馬(RAT)をダウンロードするページに誘導しています。このようなプログラムは攻撃者に被害者のマシンを完全に制御させ、追加のマルウェアを配布する能力を与えます。
脅威の主体の真の意図は不明ですが、データ収集やスパイ活動がその動機の一つである可能性があります。私たちは、このブログ投稿で収集した悪意のある広告とペイロードについての詳細を共有しています。
例えば、Google.cnにアクセスするとGoogle.com.hkにリダイレクトされ、そこでは検索結果が検閲されていないとされています。’telegram’を検索すると、スポンサー付きの検索結果が表示されます。この広告には「公式のTelegramアプリケーション – Telegram中国語版ダウンロード」という説明が付いています。
また、「LINE」の広告には、エンドツーエンドの暗号化された体験を提供する最大のコミュニケーションプラットフォームであるとの説明があります。これらの広告の背後には、ナイジェリアのユーザープロファイルに関連付けられた2つの広告アカウントが特定されています。
このキャンペーンから収集されたペイロードは、すべてMSI形式であり、DLLサイドローディングと呼ばれる技術を使用しているものがいくつかありました。この技術は、合法的なアプリケーションと自動的にロードされる悪意のあるDLLを組み合わせるものです。
すべてのマルウェアが新しいわけではなく、以前のキャンペーンで使用されたものやGh0st RATの変種もあります。脅威の主体は、新しいペイロードとインフラストラクチャを絶えず押し出すことで量を優先しているようです。
オンライン広告は特定のオーディエンスに到達する効果的な手段ですが、悪用されることもあります。暗号化された通信ツールが禁止または制限されている国に住む人々(活動家など)は、これらの措置を回避しようとします。脅威の主体は、そのような広告で潜在的な被害者を誘い込んでいるようです。
私たちは、悪意のある広告についてGoogleに通知し、関連するインフラストラクチャを関係当局に報告しました。Malwarebytesは、実行時に悪意のあるペイロードを検出します。
【ニュース解説】
中国語を話すユーザーを狙った悪意のある広告キャンペーンが発覚しました。このキャンペーンは、人気のメッセージングアプリケーションであるTelegramやLINEのダウンロードを装いつつ、実際にはリモート管理トロイの木馬(RAT)を配布しているというものです。中国ではTelegramなどのアプリケーションが制限されているため、ユーザーはVPNなどのツールを使ってこれらの制限を回避しようとしますが、そのようなユーザーがこのキャンペーンのターゲットになっています。
このキャンペーンは、Googleの広告アカウントを悪用しており、ユーザーがマルウェアを含むファイルをダウンロードするよう誘導しています。RATは攻撃者に被害者のコンピュータを完全に制御させることを可能にし、必要に応じて追加のマルウェアを配布することができます。このような攻撃は、データ収集やスパイ活動を目的としている可能性があります。
悪意のある広告は、Google.cnからGoogle.com.hkにリダイレクトされることで表示され、そこでは検閲されていない検索結果が提供されています。広告は、公式のアプリケーションであるかのように装っていますが、実際には悪意のあるリンクを含んでいます。また、このキャンペーンにはナイジェリアのユーザープロファイルに関連付けられた広告アカウントが関与していることが特定されています。
収集されたマルウェアのペイロードはMSI形式であり、DLLサイドローディングという技術を使用しています。これは、合法的なアプリケーションと悪意のあるDLLを組み合わせることで、DLLが自動的にロードされる手法です。このキャンペーンで使用されているマルウェアは、新しいものだけでなく、過去のキャンペーンで使用されたものやGh0st RATの変種も含まれています。
オンライン広告は、特定のオーディエンスに到達するための効果的な手段ですが、このケースのように悪用されるリスクもあります。特に、通信の自由が制限されている国のユーザーは、安全な通信手段を求めており、そのようなニーズを悪用する形で悪意のある広告が展開されています。
この問題に対して、MalwarebytesはGoogleに悪意のある広告を通知し、関連するインフラストラクチャを報告しています。また、Malwarebytesは実行時にこれらの悪意のあるペイロードを検出することができます。
このニュースからわかることは、インターネット上の広告がどのように悪用される可能性があるか、そしてユーザーがどのようにして自分自身を保護する必要があるかという点です。また、このような攻撃は、個人のプライバシーやセキュリティに対する脅威であり、国家レベルでのサイバーセキュリティの重要性を浮き彫りにしています。ユーザーは、ダウンロードするアプリケーションの出所を慎重に確認し、信頼できるソースからのみソフトウェアを入手することが重要です。また、セキュリティソフトウェアの使用や、最新のセキュリティパッチを適用することで、こうした脅威から身を守ることができます。
from Malicious ads for restricted messaging applications target Chinese users.
