偽のMac版 Microsoft Teamsがマルウェアを配信
海外のセキュリティ企業「Malwarebytes」がグーグル広告で、偽のMac版 Microsoft Teams(チームス)のインストールサイトへ誘導し、情報窃取型マルウェアであるAtomic Stealerをダウンロードさせるマルバタイジング キャンペーン(マルバタイジング 攻撃)を警告しました。
目次
概要
Zoom、Webex、Slack などのコミュニケーション ツールは、これまでハッカーが狙っており、マルウェアを仕込んだ偽のインストーラーとしてパッケージ化されてきました。
Malwarebytesの追跡調査によると、Microsoft Teams は脅威アクターが狙う人気のキーワードとなっていますが、Atomic Stealer がこれを使用するのは初めてです。
この最新のマルバタイジング キャンペーンは少なくとも数日間実行され、検出を困難にする高度なフィルタリング技術が使用されていました。マルウェア配信チェーン全体を再現できたため、Malwarebytesはすぐに Google に広告を報告しているとのこと
グーグル広告で偽の Microsoft Teams(チームス)ダウンロードページが確認される
侵害された Google 広告アカウントによって支払われたと思われる、Microsoft Teams の広告を検索して確認されました。
数日間、広告が Microsoft の Web サイトに直接リダイレクトされたため、悪意のある動作は確認できませんでしたが、何度も試行錯誤を繰り返した後、ようやく完全な攻撃チェーンが判明しました。
Microsoft と無関係のグーグル広告を配信
広告の表示 URL にmicrosoft.com のURLが表示されていますが、これは Microsoft とはまったく関係がありません。
画像引用:Malwarebytes
香港に拠点を置く会社が1000件近く無関係なグーグル広告を配信
広告主は香港に拠点を置いており、無関係な広告を 1,000 件近く掲載しています。
画像引用:Malwarebytes
悪意のあるリダイレクトとペイロード
ネットワーク キャプチャを記録することで、この広告が悪質なものであることを確認されました。
画像引用:Malwarebytes
各クリックは最初にプロファイリングされ ( smart[.]link )、ボットや VPN ではなく実際の人間だけが続行することを確認した後、
クローキング ドメイン ( voipfaqs[.]com ) によって最初のリダイレクトが
悪質なランディング (おとり) ページ ( teamsbusiness[.]org ) から分離されます。
おとりページに誘導
被害者は、Teams をダウンロードするためのボタンが表示されたおとりページ ( teamsbusiness[.]org )にアクセスします(以下画像参照)。
別のドメイン (locallyhyped[.]com) にリクエストが送信され、各訪問者に対して一意のペイロード (ファイル名とサイズ) が生成されます。
画像引用:Malwarebytes
ダウンロードボタンを選択するとMicrosoftTeams_v.(xx).dmgが保存されます。
Appleの組み込み保護を回避する為に右クリックでファイルを開くよう指示
MicrosoftTeams_v.(xx).dmgがマウントされると、署名されていないインストーラーに対する Apple の組み込みの保護を回避するために、
ユーザーは右クリックでファイルを開くように指示されます。
以下のビデオでは、この悪意のあるアプリケーションをインストールするために必要な手順を示しており、パスワードを入力してファイル システムへのアクセスを許可するように指示されていることに注目してください。
これは、新しいプログラムをMacへインストールしたい人にとっては珍しいことではないかもしれませんが、Atomic Stealer がキーチェーンのパスワードや重要なファイルを取得するために必要な動作です。
動画引用:Malwarebytes
C2サーバへ通信されデータが漏洩する
ネットワーク パケット収集ツールでのみ確認できるデータ流出のステップです。リモート Web サーバー (147.45.43[.]136) に対して単一の POST リクエストが送信され、データがエンコードされます。
画像引用:Malwarebytes
侵害の兆候
クローキング ドメイン
voipfaqs[.]com
偽サイトのドメイン
teamsbusiness[.]org
マルウェアのダウンロードURL
locallyhyped[.]com/kurkum/script_66902619887998[.]92077775[.]php
Atomic Stealerのペイロード
7120703c25575607c396391964814c0bd10811db47957750e11b97b9f3c36b5d
Atomic StealerのC2サーバのIPアドレス
147.45.43[.]136
緩和策
サイバー犯罪者が配布キャンペーンを強化するにつれて、検索エンジン経由でアプリケーションをダウンロードすることがより危険になります。
ユーザーは、マルバタイジング(スポンサー付きの検索結果)と SEO ポイズニング(侵害された Web サイト)を注意しながら見分ける必要があります。
このようなリスクを軽減するには、広告や悪意のある Web サイトをブロックできるブラウザ保護ツールを使用することが必要になります。
多くの場合、脅威の攻撃者は、悪意のあるインストーラーをダウンロードする前に阻止できる広告や侵害されたネットワークからのリダイレクトに依存します。
画像引用:Malwarebytes
関連記事
Arc ブラウザのWindows版を狙う偽ダウンロードサイトが観測され マルウェア感染の恐れ
その他見ると面白い記事
Open AI「ロシアや中国がChatGPTやAIモデルを利用し世論工作」 さらに「福島批判」記事も
Google Play(グーグルプレイ)でマルウェアが混入されたアプリが550万回ダウンロードされる
AndroidやWindows端末に感染するマルウェアがウイルス対策ソフトメーカーの偽サイトで拡散