Slack装う悪意あるGoogle検索広告、検出回避の手口とは
マイナビニュース / 2024年8月23日 12時43分
Malwarebytesは8月21日、「Fraudulent Slack ad shows malvertiser's patience and skills」において、SlackのWebサイトを装ってマルウェアをダウンロードさせようとする悪意のあるGoogle検索広告が確認されたと伝えた。この検索広告を展開した脅威アクターは、複数のオンラインツールを駆使して標的を絞り込み、セキュリティツールによる検出を回避していることが明らかになったという。
○深い階層化によって検出を回避
Malwarebytesは、Googleで「slack」を検索した際に、SlackのWebサイトを装った疑わしい検索広告が表示されていることに気付いたという。
一見、正式なSlackの広告に見えるが、詳細情報を確認すると広告主は「CVC International Limited」となっており、Slackの提供元であるSlack Technologiesとはまったく関係のない会社であることが分かる。Google検索広告の詳細情報は、URLの右に表示される3点アイコンをクリックすれば確認できる。
この広告のリンクをクリックした場合、当初は単に本物のSlackのWebサイトにリダイレクトされるだけで、特に悪い影響を与えなかった。しかし、しばらくするとこのリンクはクリックトラッカーにリダイレクトされるようになり、最終的に攻撃者が用意した悪意のあるサーバに誘導されるように挙動が変わっていったという。
これは、セキュリティ対策ツールによる検出を回避するための手口と指摘されている。最初は本物のWebサイトにリダイレクトすることで、悪意のない広告であることを誤認させる。しばらく待って活性化させた後も、複数のクリックトラッカーを経由することでGoogleのシステムがユーザーの移動先を追跡できないようにする。
さらに、攻撃者が用意したサーバにも検出を回避するための仕組みが用意されている。Malwarebytesによる検証では、当初は悪意のない“おとり”のページだけが表示されており、さまざまな設定を微調整して初めて悪意を含んだページが表示されたという。攻撃の標的となるユーザーだけを選別して悪意のあるページを表示するように、サーバ側で何らかのチェックが行われているようだ。
最終的に表示されるページにはSlackクライアントを装ったダウンロードボタンがあり、これをクリックすると別のドメインから悪意のあるファイルがダウンロードされ、被害者はマルウェアに感染させられることになる。このマルウェアが使用しているリモートサーバは、リモートアクセス型トロイの木馬「SecTopRAT」によって使われたものと同じだという。
Malwarebytesは、このような複数のツール/サービスを使用した深い階層化は、検出を回避する手法として今後も使われると指摘している。その上で、攻撃者には新しい攻撃キャンペーンを開始する適切なタイミングを待つ忍耐強さがあることにも留意する必要があると警告している。
(杉山貴章)
外部リンク
この記事に関連するニュース
-
Google検索に偽のGoogle広告、詐欺に誘導する手口に警戒を
マイナビニュース / 2024年8月19日 9時42分
-
カスペルスキー、スパイウェア「Mandrake」を配布する新たな攻撃活動を発見
週刊BCN+ / 2024年8月7日 15時5分
-
Kaspersky、スパイウェア「Mandrake」の新たな攻撃活動が2年間検知されず、Google Playから32,000回以上ダウンロードされていたことを発見
PR TIMES / 2024年8月2日 17時40分
-
偽Google多要素認証アプリに注意、最近インストールした場合は確認を
マイナビニュース / 2024年8月2日 12時56分
-
5つのAndroidアプリが実はマルウェア、約2年だまし続ける - 確認を
マイナビニュース / 2024年7月30日 18時20分
ランキング
-
1「やべえ!! 天才!!!」 2歳児がブロックで作った「イタリア」 → “まさかの発想”に5万いいね 「すげーよ」「賢すぎ」
ねとらぼ / 2024年8月24日 9時0分
-
2数百のオンラインストアを狙うサイバー攻撃が進行中
マイナビニュース / 2024年8月24日 13時24分
-
3“ラブコメの女王”メグ・ライアンの現在 「容姿激変」話題も23年ぶりのイベントで話題をかっさらう
ねとらぼ / 2024年8月24日 9時40分
-
4「3GBじゃ足りなかった」 LINEMOベストプランが埋めた穴、ユーザーが語る魅力と課題感
ITmedia Mobile / 2024年8月23日 10時5分
-
5Linuxが動く! 1100円から買える格安のシングルボードコンピューター「LuckFox Pico」が千石電商で販売中
ASCII.jp / 2024年8月24日 10時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください