- 偽装サイト100件超が信頼性の高いセキュリティツールを模倣
- SessionGate、RemusStealer、AnimateClipperを配布
- 主目的はトラフィックによる収益化
信頼性の高いオープンソースセキュリティツールを偽装し、開発者やセキュリティ研究者から広告収益を騙し取るとともにマルウェアを配布する、大規模な悪意あるキャンペーンが最近発覚しました。
セキュリティ企業のCheck Point Research(CPR)は先ごろ詳細なレポートを公開し、このキャンペーンの全容を明らかにしました。脅威アクターはGhidra、dnSpy、SpiderFootといったツールを模倣した100件以上のウェブサイトを構築し、訪問者をトラフィック配布システム(TDS)経由で誘導して、SessionGate、RemusStealer、AnimateClipperといった複数のマルウェアを感染させていたとされています。
「このキャンペーンが特に注目に値するのは、標的としたブランドの選定にあります。リスクの高いサイト群は、セキュリティ研究者やマルウェア解析者が日常的に使用するGhidraやdnSpyといった、信頼性の高いリバースエンジニアリングツールを装っています」とレポートは指摘しています。
トラフィック獲得と収益化の手口
CPRによると、SessionGateは最終ペイロードの入手を極めて困難にする新たな多段階ローダーです。RemusStellerはブラウザや拡張機能を狙う新興のインフォスティーラーで、AnimateClipperは20以上のブロックチェーンにわたる暗号資産取引を乗っ取ることができる仮想通貨クリッパーです。
こうした複数のマルウェアを配布しているにもかかわらず、CPRはマルウェア配布がこのキャンペーンの主目的ではないと見ています。むしろ、主な狙いはトラフィックの獲得と収益化にあると分析しています。
「しかし、ゲート制御されたTDSレイヤーを組み込み、検索トラフィックをそこに流し込むことで、運営者はマルウェア配布業者が顧客として存在し得る配布チェーンの一端を担うことになります」とCPRは強調しています。「グレーな収益化を支えるトラフィックパイプラインは、実在のユーザーを悪意あるペイロードに選択的に誘導することも可能です。」
被害者の具体的な数についてCPRは明らかにしていませんが、このキャンペーンは相当な規模に及ぶと強調しています。関与するウェブサイトは100件以上にのぼり、VirusTotalへの投稿も5,000件を超えています。
このキャンペーンをはじめとする同様の脅威から身を守るため、検索エンジンの結果を無条件に信頼せず、GoogleなどのトップページAに表示されるリンクであっても、クリックする際は十分に注意するよう呼びかけています。
