偽のMac版 Microsoft Teamsがマルウェアを配信

偽のMac版 Microsoft Teamsがマルウェアを配信

海外のセキュリティ企業「Malwarebytes」がグーグル広告で、偽のMac版 Microsoft Teams(チームス)のインストールサイトへ誘導し、情報窃取型マルウェアであるAtomic Stealerをダウンロードさせるマルバタイジング キャンペーン(マルバタイジング 攻撃)を警告しました。

概要

Zoom、Webex、Slack などのコミュニケーション ツールは、これまでハッカーが狙っており、マルウェアを仕込んだ偽のインストーラーとしてパッケージ化されてきました。

Malwarebytesの追跡調査によると、Microsoft Teams は脅威アクターが狙う人気のキーワードとなっていますが、Atomic Stealer がこれを使用するのは初めてです。

この最新のマルバタイジング キャンペーンは少なくとも数日間実行され、検出を困難にする高度なフィルタリング技術が使用されていました。マルウェア配信チェーン全体を再現できたため、Malwarebytesはすぐに Google に広告を報告しているとのこと

グーグル広告で偽の Microsoft Teams(チームス)ダウンロードページが確認される

侵害された Google 広告アカウントによって支払われたと思われる、Microsoft Teams の広告を検索して確認されました。

数日間、広告が Microsoft の Web サイトに直接リダイレクトされたため、悪意のある動作は確認できませんでしたが、何度も試行錯誤を繰り返した後、ようやく完全な攻撃チェーンが判明しました。

Microsoft と無関係のグーグル広告を配信

広告の表示 URL にmicrosoft.com のURLが表示されていますが、これは Microsoft とはまったく関係がありません。

香港に拠点を置く会社がMicrosoft と無関係のグーグル広告を配信

画像引用:Malwarebytes

香港に拠点を置く会社が1000件近く無関係なグーグル広告を配信

香港に拠点を置く会社が1000件近く無関係なグーグル広告を配信

画像引用:Malwarebytes

悪意のあるリダイレクトとペイロード

ネットワーク キャプチャを記録することで、この広告が悪質なものであることを確認されました。

悪意のある通信と思われるネットワーク キャプチャ

画像引用:Malwarebytes

各クリックは最初にプロファイリングされ ( smart[.]link )、ボットや VPN ではなく実際の人間だけが続行することを確認した後、

クローキング ドメイン ( voipfaqs[.]com ) によって最初のリダイレクトが

悪質なランディング (おとり) ページ ( teamsbusiness[.]org ) から分離されます。

おとりページに誘導

被害者は、Teams をダウンロードするためのボタンが表示されたおとりページ ( teamsbusiness[.]org )にアクセスします(以下画像参照)。

別のドメイン (locallyhyped[.]com) にリクエストが送信され、各訪問者に対して一意のペイロード (ファイル名とサイズ) が生成されます。

おとりページに誘導

画像引用:Malwarebytes

ダウンロードボタンを選択するとMicrosoftTeams_v.(xx).dmgが保存されます。

Appleの組み込み保護を回避する為に右クリックでファイルを開くよう指示

MicrosoftTeams_v.(xx).dmgがマウントされると、署名されていないインストーラーに対する Apple の組み込みの保護を回避するために、

動画引用:Malwarebytes

C2サーバへ通信されデータが漏洩する

ネットワーク パケット収集ツールでのみ確認できるデータ流出のステップです。リモート Web サーバー (147.45.43[.]136) に対して単一の POST リクエストが送信され、データがエンコードされます。

データ流出のステップ

画像引用:Malwarebytes

侵害の兆候

クローキング ドメイン

voipfaqs[.]com

偽サイトのドメイン

teamsbusiness[.]org

マルウェアのダウンロードURL

locallyhyped[.]com/kurkum/script_66902619887998[.]92077775[.]php

Atomic Stealerのペイロード

7120703c25575607c396391964814c0bd10811db47957750e11b97b9f3c36b5d

Atomic StealerのC2サーバのIPアドレス

147.45.43[.]136

緩和策

サイバー犯罪者が配布キャンペーンを強化するにつれて、検索エンジン経由でアプリケーションをダウンロードすることがより危険になります。

ユーザーは、マルバタイジング(スポンサー付きの検索結果)と SEO ポイズニング(侵害された Web サイト)を注意しながら見分ける必要があります。

このようなリスクを軽減するには、広告や悪意のある Web サイトをブロックできるブラウザ保護ツールを使用することが必要になります。

多くの場合、脅威の攻撃者は、悪意のあるインストーラーをダウンロードする前に阻止できる広告や侵害されたネットワークからのリダイレクトに依存します。

画像引用:Malwarebytes

関連記事

Arc ブラウザのWindows版を狙う偽ダウンロードサイトが観測され マルウェア感染の恐れ

その他見ると面白い記事

Open AI「ロシアや中国がChatGPTやAIモデルを利用し世論工作」 さらに「福島批判」記事も

Google Play(グーグルプレイ)でマルウェアが混入されたアプリが550万回ダウンロードされる

AndroidやWindows端末に感染するマルウェアがウイルス対策ソフトメーカーの偽サイトで拡散

ランサムウェア 事例|被害の内容をランサムウェアの種類や企業別に解説

XDRはEDRの進化版? それぞれの基本的な知識から違いまで解説

TOPへ