Microsoftは、ランサムウェアの配布に使われることが多いマルウェアである「Zloader」の拡散に、悪質なGoogle広告が使われていると発表した。
このマルウェアはサイバー犯罪界で重要な役割を果たしており、最近になってMicrosoftや米サイバーセキュリティインフラセキュリティ庁(CISA)が、相次いでこのマルウェアに関する警告を発している。
CISAは米国時間9月23日に、ZLoaderがランサムウェア「Conti」の配布に使われているというアラートを発表した。
ZLoaderはバンキング型のトロイの木馬で、ウェブインジェクションを利用してクッキーやパスワードなどの秘密情報を盗む。また、セキュリティ企業のSentinelOneによれば、ZLoaderはランサムウェアの配布にも使用されており、バックドア機能やほかの形態のマルウェアをインストールする機能も備えている。
Microsoftは今回、ZLoaderを運用している攻撃グループが、さまざまなマルウェアの配布にGoogleのキーワード広告を利用していることを明らかにした。配布されているマルウェアには、ランサムウェアの「Ryuk」も含まれている。
この手口自体は新しいものではないが、非常に多くの人がGoogleを使っているため、Google広告を使ってユーザーを悪質なドメインに誘導するリンクを配布する手段は注目に値する。
Microsoftは、「9月上旬にZLoaderのキャンペーンを分析したところ、配布手段に大きな変化があり、従来のメールを使用した手法から、オンライン広告プラットフォームを悪用した方法に移行していることが明らかになった。攻撃者は、広告を購入し、正規のインストーラーを装ったマルウェアをホストしているウェブサイトに誘導している」と述べている。
同社は、「この攻撃キャンペーンでは『Google広告』が使用されている。『Microsoft 365 Defender』は、悪質なサイト、行動、ペイロードをブロックすることによって顧客を保護しているが、当社は責任をもって調査結果をGoogleに通報した。この脅威に関連する活動はこの数日間で減少したが、今後も引き続き動向を監視していく」と付け加えている。
攻撃者は、悪質なファイルに暗号署名を付与するために虚偽の企業を登録して、正規のJavaアプリをインストールすると見せかけてZLoaderを配布し、対象デバイスへのアクセスを獲得している。アプリに署名することで、マルウェア対策システムによる検知も回避しやすくなる。
Microsoftは、ZLoarderのビジネスエコシステムが成熟してきていることを強調した。
同社は「このキャンペーンの運営者は、獲得したアクセス手段を他の攻撃者に販売することができ、購入した攻撃者はこれを『Cobalt Strike』やランサムウェアの展開といった自分たちの目的に使うことができる」と指摘している。
セキュリティ企業のSentinalによれば、このマルウェアキャンペーンは主にオーストラリアとドイツの銀行の顧客を対象としている。このマルウェアは、「Windows 10」に搭載されている「Windows Defender」のすべてのマルウェア対策モジュールを無効にする機能を備えている。
While analyzing ZLoader campaigns in early September, we observed a notable shift in delivery method: from the traditional email campaigns to the abuse of online ad platforms. Attackers purchased ads pointing to websites that host malware posing as legitimate installers. pic.twitter.com/8HkR4kmyO6
— Microsoft Security Intelligence (@MsftSecIntel) September 23, 2021
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
