セキュリティ研究者によって、中国語を話すMicrosoft Windowsユーザーを狙った検索エンジン最適化(SEO)ポイズニング攻撃が確認されました。
FortiGuard Labsによって発見されたこのキャンペーンは、検索結果を操作して正規のソフトウェア提供元に酷似した偽サイトを表示し、被害者をマルウェアのダウンロードへと誘導していました。
信頼されたアプリケーションに偽装したマルウェア
攻撃者は、よく似たドメインを登録し、微妙な文字の置き換えを利用してユーザーを欺きました。被害者が偽サイトにアクセスすると、人気アプリケーションの改ざんされたバージョンのインストールを促されます。これらのインストーラーには、正規のソフトウェアと隠されたマルウェアの両方が含まれており、感染の発見を困難にしていました。
「これらの偽サイトはSEO技術を使って検索結果の上位に表示されるように強化されており、ユーザーが上位の結果を信頼することで感染が確実になります」とQualys Threat Research Unitのセキュリティリサーチマネージャー、Mayuresh Dani氏は説明しています。
「最終的な結果は、いつものようにマルウェアのインストールです。今回の場合は、正規アプリケーションを含めることでセキュリティ対策を混乱させるHiddengh0stおよびWinosマルウェアの亜種が使われています。」
このキャンペーンで使用された主なツールの一つが「nice.js」と呼ばれるスクリプトでした。このスクリプトは複数段階のリダイレクトチェーンを管理し、最終的にユーザーを悪意のあるインストーラーのダウンロードへと導きます。
分析中、研究者たちは偽のDeepLインストーラーに注目しました。このインストーラーには「EnumW.dll」などの悪意あるコンポーネントや、セットアップパッケージ内に偽装された複数のアーカイブ断片が含まれていました。
マルウェア拡散についてさらに読む:USBマルウェアキャンペーンが世界中でクリプトマイナーを拡散
解析回避の手口とデータ窃取
このマルウェアは、検出を回避するための多くのチェック機能も組み込んでいました。たとえばEnumW.dllは、Windows Installerプロセスによって起動されたかどうかを検証し、サンドボックス環境を回避するために時間ベースやハードウェアの整合性テストを実施しました。
これらのチェックの後、隠されたファイルを再構築し、システムディレクトリ全体に展開して、さらなる感染を引き起こす機能を実行しました。
マルウェアが活動を開始すると、以下のような複数の方法で永続化を確立します:
-
偽装されたエントリによるレジストリの改変
-
スタートアップパスを変更するショートカットの作成
-
悪意のあるXMLファイルを使ったTypeLibハイジャック
また、このマルウェアは360 Total Securityなどのアンチウイルスツールを検出した場合、挙動を変化させることもありました。
「SEOポイズニングは、フィッシングやスミッシングといった最も成功している悪質なユーザー攻撃手法をさらに強化・促進します」とDeepwatchのCISO、Chad Cragle氏は述べています。
「これは、エンドユーザーをマルウェアが仕込まれたサイトへ誘導し、システムが侵害されるリスクを高めるものです。決して新しい手口ではありませんが、SEOポイズニングによって攻撃者はこれらの行為をより簡単に大規模に実行できるようになっています。」
監視用の最終ペイロード
最終ペイロードには、継続的な監視、システムデータ収集、コマンド&コントロール(C2)通信のためのモジュールが含まれていました。キーストロークの記録、クリップボードの監視、設定の更新、さらには暗号通貨ウォレットの乗っ取りなどのタスクをサポートしています。
追加のプラグインからは、特にTelegramのアクティビティ傍受や画面監視に重点が置かれていることが示唆されました。
FortiGuard Labsは、このキャンペーンで使用されたマルウェアファミリーをHiddengh0stおよびWinosの亜種に帰属させています。セキュリティ専門家は、盗まれた情報がさらなる攻撃に悪用される可能性があるため、全体的な脅威レベルは高いと述べています。
Dani氏は、組織が多言語でのセキュリティ意識向上トレーニングを実施し、DNSフィルタリングを導入し、ブラウザのセキュリティ機構を強化し、検証済みのソフトウェアダウンロードポリシーを確立することで、SEOポイズニングキャンペーンへの曝露を減らすことを推奨しています。
翻訳元: https://www.infosecurity-magazine.com/news/seo-poisoning-targets-china/