2022年末以降、一部のマルウエアでGoogleの検索結果に表示される広告サービスを悪用し感染させる手口が増加しているとして、セキュリティベンダやFBIなどが注意を呼び掛けています。ここでは関連する情報をまとめます。
Googleの広告悪用し偽インストーラー配布サイトへ誘導
- マルバタイジングの一種で、SEO(Search Engine Optimization)ポイズニング、またはSERP(Search Engine Results Page)ポイズニングとも呼ばれることがあり、攻撃者はなりすまし対象のソフトウエア配布先に似せたドメイン名を取得し、これを表示させる広告をGoogleから購入する。
- ソフトウエアのインストールを考える利用者は検索サービスでソフトウエアの名前で検索を行うことが一般的だが、攻撃者が用意した広告が検索結果の一番上に表示されることがあり、利用者は誤ってそれをクリックしてしまう場合がある。
- 広告のクリック先は見た目を含め正規サイトを模倣した偽配布サイトとなっており、利用者は事実に気づけない場合はそのまま偽のインストーラーをダウンロードし実行してしまい、その環境がマルウエアに感染する。
- この手口を通じて感染するマルウエアは、インフォスティーラーやRATなどの報告がある。HPによれば、特に2022年11月中旬以降はIcedIDに感染するキャンペーンが増加傾向にあると分析している。*1
多数のソフトウエアで偽配布サイト発生か
以下は偽配布サイトの設置と広告での掲載が報告されていた事例。*2 *3 これ以外に暗号資産関連の事例も複数確認した。
| 感染するマルウエア | 偽の配信が行われたソフトウエア |
|---|---|
| IcedID | ・2022/12/15 AnyDesk *4 ・2023/2/14 Teams *5 以下は2022/12/23にTrend Microが報告。 ・Adobe ・AnyDesk ・Brave Browser ・Discord ・Fortinet ・GoTo ・Libre Office ・Open Broadcaster Software ・Ring ・Sandboxie ・Slack ・TeamViewer ・Thunderbird 以下は2023/1/18にHPが報告。 ・Audacity ・Microsoft Teams |
| RhadamanthysStealer | ・2023/1/3 Notepad++ *6 |
| ArkeiStealer | ・2022/12/29 AnyDesk *7 |
| VIDAR Stealer | ・2022/11/1 GIMP *8 ・2022/12/8 MSI Afterburner*9 以下は2023/1/18にHPが報告。 ・Blender 3D 2022/12/28にGuardioが報告。 ・AnyDesk ・Open Broadcast Studio ・DashLane ・TradingView |
| SectopRAT | ・2022/11/30 Audacity *10 |
| RedLine Stealer | ・2023/1/21 LightShot*11 ・2023/2/3 CPUID*12 以下は2023/1/17にBleeping Computerが報告。 ・CCleaner |
| Racoon Stealer | 2022/12/28にGuardioが報告。 ・Grammarly |
| 不明 | ・2022/11/24 VLC Media Player *13 ・2022/12/29 Adobe Reader *14 *15 ・2023/1/11 AMD Driver *16 *17 ・2022/11/11 Brave Browser*18 ・2023/1/20 Blender *19 ・2023/1/17 OBS *20 *21 ・2023/1/23 AnyDesk *22 以下は2023/1/17にBleeping Computerが報告。 ・7-zip ・Capcut ・Rufus ・VirtualBox ・WinRAR ・PuTTY |
また広告掲載などの報告は確認できていないが、配布サイトとみられるURLより偽ソフトウエアのインストーラー配布サイトが設置されている可能性のあるものは以下の通り。
- Cisco WebEx
- Tor
- VMware
- One Note
- MalwareBytes
- μTorrent
- Visual Studio
- Zoom
インディケーター情報
- https://www.trendmicro.com/content/dam/trendmicro/global/en/research/22/l/icedid-botnet-distributors-abuse-google-ppc-to-distribute-malware/IOCs-IcedID-Botnet-Actors-Abuse-Google-PPC-to-Distribute-Malware.txt
- https://raw.githubusercontent.com/CronUp/Malware-IOCs/main/2023-01-17_Arechclient2_GoogleAds
- https://gist.github.com/guardiolabs/2178c54367d20b0655b5cc5e9d297760
- https://gist.github.com/guardiolabs/7f46d1adda8b0c08e76f23d9fab27fe9
FBIが広告ブロッカーの利用を推奨
- Internet Crime Complaint Center (IC3) | Cyber Criminals Impersonating Brands Using Search Engine Advertisement Services to Defraud Users
- FBIは2022年12月21日に Public Service Announcementを発行し、広告を悪用した今回の手口についてクリックする際は注意が必要だと呼び掛けている。
- FBIの保護推奨策は以下の通り。この推奨策を受けてFBIが広告ブロックの利用を呼び掛けたとして話題になっていた。*23
| 広告から誘導される個人に対しての推奨策 | ・広告クリック前にURLを確認し、正規サイトであることを確認する。 ・企業や金融機関名で検索をしない。URLを直接入力し、公式サイトへアクセスする。 ・インターネット検索利用時は広告ブロッカーを使用する。 |
|---|---|
| 偽配布サイトを設置される組織に対しての推奨策 | ・ドメイン保護サービスを利用し、なりすましドメイン登録時に通知を受ける。 ・偽サイトの存在や正規URLの確認の重要性について利用者への教育を行う。 ・正規のダウンロード先を利用者へ周知する。 |
更新履歴
- 2023年1月21日 AM 新規作成
*1:IcedID and Infostealers Spread Through Adverts Mimicking Popular Tools,HP Threat Research Blog,2023年1月18日
*2:IcedID Botnet Distributors Abuse Google PPC to Distribute Malware,Trend Micro,2022年12月23日
*3:“MasquerAds” — Google’s Ad-Words Massively Abused by Threat Actors, Targeting Organizations, GPUs and Crypto Wallets,Guardio,2022年12月28日
*4:https://isc.sans.edu/diary/Google%20ads%20lead%20to%20fake%20software%20pages%20pushing%20IcedID%20%28Bokbot%29/29344
*5:https://twitter.com/Unit42_Intel/status/1625218084288987136
*6:https://twitter.com/malware_traffic/status/1610406433614348288
*7:https://twitter.com/malware_traffic/status/1608690081178750976
*8:Google ad for GIMP.org served info-stealing malware via lookalike site,Bleeping Computer,2022年11月1日
*9:https://twitter.com/crep1x/status/1600839833114800129
*10:https://twitter.com/1ZRR4H/status/1615231876817362944
*11:https://twitter.com/1ZRR4H/status/1616682543205552132
*12:https://twitter.com/malware_traffic/status/1621728889486671873
*13:http://web.archive.org/web/20221124060842/https://twitter.com/videolan/status/1595524698351230981
*14:https://twitter.com/Unit42_Intel/status/1608567622856998912
*15:https://www.malware-traffic-analysis.net/2022/12/29/index.html
*16:Google serves up malware for user looking to update their AMD Graphics Drivers,TweakTown,2023年1月15日
*17:https://www.reddit.com/r/pcmasterrace/comments/108kphw/careful_of_this_site_pretending_to_be_amd/
*18:https://twitter.com/TxDigiPro/status/1590879928949821441
*19:https://twitter.com/BornatoBtw/status/1616412352596918273
*20:https://twitter.com/OBSProject/status/1615033901809913856
*21:https://twitter.com/mdmck10/status/1615010474088611842
*22:https://twitter.com/Unit42_Intel/status/1617672614792642560
*23:FBIが推奨「広告ブロッカーを利用して」,lifehacker,2023年1月7日
