1. トップ
  2. 新着ニュース
  3. IT
  4. IT総合

Slack装う悪意あるGoogle検索広告、検出回避の手口とは

マイナビニュース / 2024年8月23日 12時43分

画像提供:マイナビニュース

Malwarebytesは8月21日、「Fraudulent Slack ad shows malvertiser's patience and skills」において、SlackのWebサイトを装ってマルウェアをダウンロードさせようとする悪意のあるGoogle検索広告が確認されたと伝えた。この検索広告を展開した脅威アクターは、複数のオンラインツールを駆使して標的を絞り込み、セキュリティツールによる検出を回避していることが明らかになったという。
○深い階層化によって検出を回避

Malwarebytesは、Googleで「slack」を検索した際に、SlackのWebサイトを装った疑わしい検索広告が表示されていることに気付いたという。

一見、正式なSlackの広告に見えるが、詳細情報を確認すると広告主は「CVC International Limited」となっており、Slackの提供元であるSlack Technologiesとはまったく関係のない会社であることが分かる。Google検索広告の詳細情報は、URLの右に表示される3点アイコンをクリックすれば確認できる。

この広告のリンクをクリックした場合、当初は単に本物のSlackのWebサイトにリダイレクトされるだけで、特に悪い影響を与えなかった。しかし、しばらくするとこのリンクはクリックトラッカーにリダイレクトされるようになり、最終的に攻撃者が用意した悪意のあるサーバに誘導されるように挙動が変わっていったという。

これは、セキュリティ対策ツールによる検出を回避するための手口と指摘されている。最初は本物のWebサイトにリダイレクトすることで、悪意のない広告であることを誤認させる。しばらく待って活性化させた後も、複数のクリックトラッカーを経由することでGoogleのシステムがユーザーの移動先を追跡できないようにする。

さらに、攻撃者が用意したサーバにも検出を回避するための仕組みが用意されている。Malwarebytesによる検証では、当初は悪意のない“おとり”のページだけが表示されており、さまざまな設定を微調整して初めて悪意を含んだページが表示されたという。攻撃の標的となるユーザーだけを選別して悪意のあるページを表示するように、サーバ側で何らかのチェックが行われているようだ。

最終的に表示されるページにはSlackクライアントを装ったダウンロードボタンがあり、これをクリックすると別のドメインから悪意のあるファイルがダウンロードされ、被害者はマルウェアに感染させられることになる。このマルウェアが使用しているリモートサーバは、リモートアクセス型トロイの木馬「SecTopRAT」によって使われたものと同じだという。

Malwarebytesは、このような複数のツール/サービスを使用した深い階層化は、検出を回避する手法として今後も使われると指摘している。その上で、攻撃者には新しい攻撃キャンペーンを開始する適切なタイミングを待つ忍耐強さがあることにも留意する必要があると警告している。
(杉山貴章)

この記事に関連するニュース

トピックスRSS

ランキング

記事ミッション中・・・

10秒滞在

記事にリアクションする

記事ミッション中・・・

10秒滞在

記事にリアクションする

デイリー: 参加する
ウィークリー: 参加する
マンスリー: 参加する
10秒滞在

記事にリアクションする

次の記事を探す

エラーが発生しました

ページを再読み込みして
ください