WindowsのゲームやAIソフト偽る広告に注意、ブラウザから認証情報窃取の恐れ

画像提供：マイナビニュース

Trustwaveは7月15日(米国時間)、「Facebook Malvertising Epidemic – Unraveling a Persistent Threat: SYS01」において、サイバー攻撃者によるFacebookの悪用調査の過程で「SYS01」と呼ばれる情報窃取マルウェアの亜種を発見したと伝えた。Trustwaveは、「(PDF) Facebook Malvertising Epidemic - UNRAVELING A PERSISTENT THREAT: SYS01 - PART 1」において、調査レポートを公開している。

○マルウェアマルウェアの

調査レポートによるとTrustwaveの脅威インテリジェンスチームは、最近のマルバタイジングキャンペーンにおいて情報窃取マルウェア「SYS01」の亜種の配布を確認したという。この亜種はWebブラウザから認証情報を窃取する機能を持ち、攻撃者は窃取した認証情報からアカウントを乗っ取る。

マルバタイジングキャンペーンでは主にFacebook、YouTube、LinkedInの広告を悪用する。広告の内容はWindowsテーマ、ゲーム、AI(Artificial Intelligence)ソフトウェアなど多岐にわたり、広告にアクセスしたユーザーに悪意のあるアーカイブファイルを配布する。

アーカイブファイルには正規のインストーラーなどが含まれており、実行するとサイドローディング技術を使用して悪意のあるDLL(Dynamic Link Library)が実行される。この悪意のあるDLLはセキュリティソリューションの検出、回避機能を持つとされる。その後、複数のスクリプトを実行して、最終的にマルウェア「SYS01」を展開する。

SYS01はWebブラウザから認証情報を含むデータを窃取し、攻撃者のコマンド＆コントロール(C2: Command and Control)サーバに送信する機能を持つ。攻撃者は窃取した認証情報を悪用してFacebookアカウントを乗っ取り、悪意のある広告を展開してさらなる感染拡大を試みる。
○対策

Trustwaveは、発見したマルバタイジングキャンペーンを現在進行中として偽広告に注意するよう呼びかけている。また、この攻撃を回避するために、次のような対策を推奨している。

従業員に偽広告の見分け方を教育する
ソフトウェアを最新の状態に維持する
オンラインアカウントに多要素認証(MFA: Multi-Factor Authentication)を設定する
定期的にWebブラウザのCookieを削除する
ダークWebに侵害された資格情報が公開されていないかどうかを監視する

今回確認されたサイバー攻撃は特定個人を標的にするものではなく、侵害可能なすべてのユーザーの資格情報を窃取してアカウントを乗っ取る。Trustwaveは企業アカウントが乗っ取られた場合の影響は大きいとして、企業や組織に対策の強化を推奨している。
（後藤大地）