GoogleやBingの広告悪用してマルウェアに感染させる攻撃に注意

Sophosは7月26日(英国時間)、「Into the tank with Nitrogen – Sophos News」において、悪意のある広告から正規のソフトウェアになりすまして攻撃を行うマルウェアキャンペーンを確認したとして、注意を喚起した。

Sophosはこのマルウェアキャンペーンに「Nitrogen」という名称を与えている。このキャンペーンは主にGoogleやBingの広告を悪用しており、特定のソフトウェアを求めるユーザーを正規のソフトウェアサイトに偽装したフィッシングサイトへ誘導し、「マルウェアをひっそりとインストールする機能」をもたせたソフトウェアパッケージをダウンロードさせることから始まる。

パッケージのタイプはISO、VHD、IMGなどの仮想ファイルシステムや、パスワードで保護されたZIP、RARアーカイブなどさまざまなタイプがある。ダウンロードしたパッケージを展開し、インストーラを起動すると、正規のソフトウェアインストーラを起動すると同時に、悪意のあるダイナミックリンクライブラリ(DLL: Dynamic Link Library)をサイドロードするなどの方法で、脅威アクターのコマンド＆コントロール(C2: Command and Control)サーバに接続、マルウェアをシステムに感染させる。

Sophosによると、偽装対象となった正規のソフトウェアは主にAnyDesk、WinSCP、Cisco AnyConnect VPNなどであり、ITエンジニアをターゲットとしている可能性が高いことがわかる。これより、攻撃者がITエンジニアを経由して、企業ネットワークへの侵害を試みようとしていることが推測される。

このように検索エンジンの広告を悪用したフィッシングサイトへの誘導などは、攻撃者の間で一般的な手段となりつつある。Sophosはこのような脅威への備えとして、次のような対策を推奨している。

検索エンジンの広告は危険性があることを自覚する
ブラウザの広告ブロック拡張機能を使用し、非侵入型広告の表示を制限する
Windowsのグループポリシーオブジェクトを使用して、仮想ファイルシステムのマウント機能を制限する
通常とは異なる拡張子のファイルダウンロードに注意する
仮想ファイルシステムの自動マウント機能を無効にすることを検討する
次のような不審な情報を発信するWebサイトに注意する
レジストリ内にクレデンシャル情報を保存しない。また定期的にクレデンシャル情報が保存されているか検索し、必要なければ削除する。必要がある場合は悪用されないようにアクセス制限されていることを確認する