▶︎セキュリティニュース▶︎情報セキュリティ▶︎ハッカー集団・脅威アクター▶︎Arc ブラウザのWindows版を狙う偽ダウンロードサイトが観測され マルウェア感染の恐れ

情報セキュリティ

Arc ブラウザのWindows版を狙う偽ダウンロードサイトが観測され マルウェア感染の恐れ

Arc ブラウザのWindowsリリースを狙った偽ダウンロードサイトが観測され、マルウェア感染の恐れ

2024年5月にMDRとEDRのメーカー「TreatDown」が、2024年4月末日にリリースされたWindows版の「Arc ブラウザ(Arc search )」の偽ダウンロードを観測し、ダウンロードすると正規のArc ブラウザはダウンロードされるが裏側でマルウェアに感染し、気づく事ができない可能性があると注意喚起しました。

関連記事:偽のMac版 Microsoft Teamsがマルウェアを配信

Arc ブラウザ(Arc search)とは

Arc ブラウザ(Arc search)は、The Browser Companyが開発したAIアシスタントが搭載されているブラウザです。
ユーザー体験を重視し、タブ管理やブックマーク機能が独自のインターフェースで提供されます。Chromeからの移行がかなり簡単で、タブをサイドバーに配置し、作業スペースを効率的に管理できるのが特徴です。

Arc ブラウザに対応しているOSとリリース日

ArcブラウザはMacとWindowsに対応しており

Mac版は2022年4月19日にリリースされ、
Windows版は2024年4月30日に正式にリリースされました。

脅威アクターはこのWindows版の偽サイトを利用し、マルウェア拡散を狙っており、今後もLinux版やAndroid版がリリースされるたびに同様のサイバー攻撃が発生する可能性があります

グーグル広告で偽サイトが表示させる

脅威アクターはグーグル広告を悪用し、偽サイトへ誘導しています。(通称 マルバタイジング攻撃)

グーグル広告には、正当な URL を表示する広告を削除できるという重大な問題があり
脅威アクターはこの問題を悪用しています。

まず、グーグル検索で「arc installer」や「arc browser windows」と検索すると
Arc ブラウザの正しい ダウンロードURL を表示する広告結果(arc.net)が表示されます。

タイポスクワッティングで偽サイトへ遷移

しかし、広告をクリックすると、本物の Web サイトに見た目が似ている、タイプミスのドメインにリダイレクトされます。

なお、危険なので具体的なドメインはテキストで記載しておりません。画像をご覧ください。

ダウンロードページへ遷移

偽サイトのダウンロードボタンを選択するとマルウェアをダウンロードすることになります。

この場合、脅威アクターは、これまでに見たことのない独自の方法でマルウェアをパッケージ化していました。

メイン インストーラー (ArcBrowser.exe) は実行可能ファイルで、それ自体に 2 つの他の実行可能ファイルが含まれています。

おとりの一部としてそのうちの 1 つは、正規の Arc ソフトウェアの Windows インストーラーを取得します。正規のArc ブラウザがダウンロードされるためユーザーはマルウェア感染を気付きにくくなります。

バックグラウンドでは、Arc.exe が開発者の API を介してクラウド ストレージ「MEGA」 に接続します。

最初のクエリは、脅威アクターを認証します (脅威アクターは yopmailの使い捨てメール アドレスを使用しています)

https://g[.]api[.]mega[.]co[.]nz/cs?id=[] 
[{"a":"us0","user":"vivaldi.dav@yopmail[.]com"}]

その後に、おそらくユーザー データを使用してエンコードされた一連のクエリと応答が続きます。

次のステージのペイロードをダウンロードするためのリモート サイトへの要求され、

ペイロードが実行されると、悪意のあるコードが隠された偽の PNG 画像が取得されます。

さらに別のペイロードが JRWeb.exe として感染端末のディスクにドロップされます。

このサンプルを操作しているときに、PNG ファイルを取得しない boostrap.exe ファイルの別のバージョンを確認され、このファイルは、同じ場所から同じ名前でダウンロードされましたが、サイズが異なっていました。

2 番目のバージョンでは、前のバージョンと同様に、正規の Python 実行可能ファイルを使用して MSBuild.exe にコードを挿入します。

C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe

この時点で、マルウェアは以下サイトを照会して悪意のある IP アドレス (おそらく別のC&Cサーバー) を取得します。

https://textbin[.]net/raw/it4ooicdbv

その後、ペイロードは情報窃取マルウェアをインストールする可能性があります。

マルウェアをダウンロードすると気付かない

アナリストらは、これらの攻撃の最終的なペイロードは情報窃取型マルウェアであると示唆しているが、これはまだ確定していません。

しかしArc ブラウザが被害者の端末にインストールされ、悪意のあるファイルがバックグラウンドで密かに実行されるため、被害者がマルウェアに感染したことに気付く可能性は低いです。

画像、記事引用:Threat actors ride the hype for newly released Arc browser

その他見ると面白い記事

Open AI「ロシアや中国がChatGPTやAIモデルを利用し世論工作」 さらに「福島批判」記事も

Google Play(グーグルプレイ)でマルウェアが混入されたアプリが550万回ダウンロードされる

AndroidやWindows端末に感染するマルウェアがウイルス対策ソフトメーカーの偽サイトで拡散

ランサムウェア 事例|被害の内容をランサムウェアの種類や企業別に解説

XDRはEDRの進化版? それぞれの基本的な知識から違いまで解説

関連記事

トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Microsoft Power BI で機密情報を公開する脆弱性Microsoft Power BI で機密情報を公開する脆弱性を確認 偽のMac版 Microsoft Teamsがマルウェアを配信偽のMac版 Microsoft Teamsがマルウェアを配信 偽のグーグルクロームアップデートでPowerShellを実行させる偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導 Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112) ランサムウェア集団がPuTTYとWinSCPのマルバタイジング攻撃でWindows管理者を標的ランサムウェア グループがPuTTYとWinSCPのマルバタイジング攻撃でWindows管理者を標的にしている ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577) 脅威アクター Menelik Dell(デル)が不正アクセスにより4900万人の個人情報漏洩の可能性 Twilioが提供するMFA「Authy」へ不正アクセス 3,300万件のデータ漏洩の可能性Twilioが提供するMFA「Authy」へ不正アクセス 3,300万件のデータ漏洩の可能性
TOPへ