Arc ブラウザのWindows版を狙う偽ダウンロードサイトが観測され マルウェア感染の恐れ

Arc ブラウザのWindowsリリースを狙った偽ダウンロードサイトが観測され、マルウェア感染の恐れ

2024年5月にMDRとEDRのメーカー「TreatDown」が、2024年4月末日にリリースされたWindows版の「Arc ブラウザ(Arc search )」の偽ダウンロードを観測し、ダウンロードすると正規のArc ブラウザはダウンロードされるが裏側でマルウェアに感染し、気づく事ができない可能性があると注意喚起しました。

Arc ブラウザ(Arc search)とは

Arc ブラウザ(Arc search)は、The Browser Companyが開発したAIアシスタントが搭載されているブラウザです。
ユーザー体験を重視し、タブ管理やブックマーク機能が独自のインターフェースで提供されます。Chromeからの移行がかなり簡単で、タブをサイドバーに配置し、作業スペースを効率的に管理できるのが特徴です。

Arc ブラウザに対応しているOSとリリース日

脅威アクターはこのWindows版の偽サイトを利用し、マルウェア拡散を狙っており、今後もLinux版やAndroid版がリリースされるたびに同様のサイバー攻撃が発生する可能性があります

グーグル広告で偽サイトが表示させる

脅威アクターはグーグル広告を悪用し、偽サイトへ誘導しています。(通称 マルバタイジング攻撃)

まず、グーグル検索で「arc installer」や「arc browser windows」と検索すると
Arc ブラウザの正しい ダウンロードURL を表示する広告結果(arc.net)が表示されます。

タイポスクワッティングで偽サイトへ遷移

しかし、広告をクリックすると、本物の Web サイトに見た目が似ている、タイプミスのドメインにリダイレクトされます。

ダウンロードページへ遷移

偽サイトのダウンロードボタンを選択するとマルウェアをダウンロードすることになります。

この場合、脅威アクターは、これまでに見たことのない独自の方法でマルウェアをパッケージ化していました。

メイン インストーラー (ArcBrowser.exe) は実行可能ファイルで、それ自体に 2 つの他の実行可能ファイルが含まれています。

バックグラウンドでは、Arc.exe が開発者の API を介してクラウド ストレージ「MEGA」 に接続します。

最初のクエリは、脅威アクターを認証します (脅威アクターは yopmailの使い捨てメール アドレスを使用しています)

https://g[.]api[.]mega[.]co[.]nz/cs?id=[] 
[{"a":"us0","user":"vivaldi.dav@yopmail[.]com"}]

その後に、おそらくユーザー データを使用してエンコードされた一連のクエリと応答が続きます。

次のステージのペイロードをダウンロードするためのリモート サイトへの要求され、

ペイロードが実行されると、悪意のあるコードが隠された偽の PNG 画像が取得されます。

さらに別のペイロードが JRWeb.exe として感染端末のディスクにドロップされます。

このサンプルを操作しているときに、PNG ファイルを取得しない boostrap.exe ファイルの別のバージョンを確認され、このファイルは、同じ場所から同じ名前でダウンロードされましたが、サイズが異なっていました。

2 番目のバージョンでは、前のバージョンと同様に、正規の Python 実行可能ファイルを使用して MSBuild.exe にコードを挿入します。

C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe

この時点で、マルウェアは以下サイトを照会して悪意のある IP アドレス (おそらく別のC&Cサーバー) を取得します。

https://textbin[.]net/raw/it4ooicdbv

その後、ペイロードは情報窃取マルウェアをインストールする可能性があります。

マルウェアをダウンロードすると気付かない

アナリストらは、これらの攻撃の最終的なペイロードは情報窃取型マルウェアであると示唆しているが、これはまだ確定していません。

しかしArc ブラウザが被害者の端末にインストールされ、悪意のあるファイルがバックグラウンドで密かに実行されるため、被害者がマルウェアに感染したことに気付く可能性は低いです。

画像、記事引用:Threat actors ride the hype for newly released Arc browser

その他見ると面白い記事

TOPへ