piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

検索結果に表示される広告を悪用したマルウエアの拡散についてまとめてみた

2022年末以降、一部のマルウエアでGoogleの検索結果に表示される広告サービスを悪用し感染させる手口が増加しているとして、セキュリティベンダやFBIなどが注意を呼び掛けています。ここでは関連する情報をまとめます。

Googleの広告悪用し偽インストーラー配布サイトへ誘導

  • マルバタイジングの一種で、SEO(Search Engine Optimization)ポイズニング、またはSERP(Search Engine Results Page)ポイズニングとも呼ばれることがあり、攻撃者はなりすまし対象のソフトウエア配布先に似せたドメイン名を取得し、これを表示させる広告をGoogleから購入する。
  • ソフトウエアのインストールを考える利用者は検索サービスでソフトウエアの名前で検索を行うことが一般的だが、攻撃者が用意した広告が検索結果の一番上に表示されることがあり、利用者は誤ってそれをクリックしてしまう場合がある。
  • 広告のクリック先は見た目を含め正規サイトを模倣した偽配布サイトとなっており、利用者は事実に気づけない場合はそのまま偽のインストーラーをダウンロードし実行してしまい、その環境がマルウエアに感染する。
  • この手口を通じて感染するマルウエアは、インフォスティーラーやRATなどの報告がある。HPによれば、特に2022年11月中旬以降はIcedIDに感染するキャンペーンが増加傾向にあると分析している。*1
検索結果の広告を悪用した偽配布サイト誘導の手口
ソフトウエア名の検索結果の広告に偽配布サイトが表示されることがある
外見はほぼ同じ偽配布サイトの例

多数のソフトウエアで偽配布サイト発生か

以下は偽配布サイトの設置と広告での掲載が報告されていた事例。*2 *3 これ以外に暗号資産関連の事例も複数確認した。

感染するマルウエア 偽の配信が行われたソフトウエア
IcedID ・2022/12/15 AnyDesk *4

以下は2022/12/23にTrend Microが報告。
・Adobe
・AnyDesk
・Brave Browser
・Discord
・Fortinet
・GoTo
・Libre Office
・Open Broadcaster Software
・Ring
・Sandboxie
・Slack
・TeamViewer
・Thunderbird

以下は2023/1/18にHPが報告。
・Audacity
・Microsoft Teams
RhadamanthysStealer ・2023/1/3 Notepad++ *5
ArkeiStealer ・2022/12/29 AnyDesk *6
VIDAR Stealer ・2022/11/1 GIMP *7
・2022/12/8 MSI Afterburner*8

以下は2023/1/18にHPが報告。
・Blender 3D

2022/12/28にGuardioが報告。
・AnyDesk
・Open Broadcast Studio
・DashLane
・TradingView
SectopRAT ・2022/11/30 Audacity *9
RedLine Stealer ・2023/1/21 LightShot*10

以下は2023/1/17にBleeping Computerが報告。
・CCleaner
Racoon Stealer 2022/12/28にGuardioが報告。
・Grammarly
不明 ・2022/11/24 VLC Media Player *11
・2022/12/29 Adobe Reader *12 *13
・2023/1/11 AMD Driver *14 *15
・2022/11/11 Brave Browser*16
・2023/1/20 Blender *17
・2023/1/17 OBS *18 *19
・2023/1/23 AnyDesk *20

以下は2023/1/17にBleeping Computerが報告。
・7-zip
・Capcut
・Rufus
・VirtualBox
・WinRAR
・PuTTY

また広告掲載などの報告は確認できていないが、配布サイトとみられるURLより偽ソフトウエアのインストーラー配布サイトが設置されている可能性のあるものは以下の通り。

  • Cisco WebEx
  • Tor
  • VMware
  • One Note
  • MalwareBytes
  • μTorrent
  • Visual Studio
  • Zoom

FBIが広告ブロッカーの利用を推奨

広告から誘導される個人に対しての推奨策 ・広告クリック前にURLを確認し、正規サイトであることを確認する。
・企業や金融機関名で検索をしない。URLを直接入力し、公式サイトへアクセスする。
・インターネット検索利用時は広告ブロッカーを使用する。
偽配布サイトを設置される組織に対しての推奨策 ・ドメイン保護サービスを利用し、なりすましドメイン登録時に通知を受ける。
・偽サイトの存在や正規URLの確認の重要性について利用者への教育を行う。
・正規のダウンロード先を利用者へ周知する。

更新履歴

  • 2023年1月21日 AM 新規作成

*1:IcedID and Infostealers Spread Through Adverts Mimicking Popular Tools,HP Threat Research Blog,2023年1月18日

*2:IcedID Botnet Distributors Abuse Google PPC to Distribute Malware,Trend Micro,2022年12月23日

*3:“MasquerAds” — Google’s Ad-Words Massively Abused by Threat Actors, Targeting Organizations, GPUs and Crypto Wallets,Guardio,2022年12月28日

*4:https://isc.sans.edu/diary/Google%20ads%20lead%20to%20fake%20software%20pages%20pushing%20IcedID%20%28Bokbot%29/29344

*5:https://twitter.com/malware_traffic/status/1610406433614348288

*6:https://twitter.com/malware_traffic/status/1608690081178750976

*7:Google ad for GIMP.org served info-stealing malware via lookalike site,Bleeping Computer,2022年11月1日

*8:https://twitter.com/crep1x/status/1600839833114800129

*9:https://twitter.com/1ZRR4H/status/1615231876817362944

*10:https://twitter.com/1ZRR4H/status/1616682543205552132

*11:http://web.archive.org/web/20221124060842/https://twitter.com/videolan/status/1595524698351230981

*12:https://twitter.com/Unit42_Intel/status/1608567622856998912

*13:https://www.malware-traffic-analysis.net/2022/12/29/index.html

*14:Google serves up malware for user looking to update their AMD Graphics Drivers,TweakTown,2023年1月15日

*15:https://www.reddit.com/r/pcmasterrace/comments/108kphw/careful_of_this_site_pretending_to_be_amd/

*16:https://twitter.com/TxDigiPro/status/1590879928949821441

*17:https://twitter.com/BornatoBtw/status/1616412352596918273

*18:https://twitter.com/OBSProject/status/1615033901809913856

*19:https://twitter.com/mdmck10/status/1615010474088611842

*20:https://twitter.com/Unit42_Intel/status/1617672614792642560

*21:FBIが推奨「広告ブロッカーを利用して」,lifehacker,2023年1月7日