サイバーセキュリティの研究者や開発者が人気のオープンソースソフトウェアを検索する際、Googleの最初の検索結果を直感的に信頼してしまうことが少なくありません。
残念ながら、脅威アクターはこの信頼を積極的に悪用しており、Ghidra、dnSpy、SpiderFootといった著名なツールを装った、非常に精巧な偽サイトを次々と作成しています。
最近発覚した大規模なキャンペーンの調査により、これらの偽サイトがユーザーを複雑なトラフィック配信ネットワークに密かに誘導し、危険なマルウェアを配信していることが明らかになりました。
攻撃は、ユーザーが公式プロジェクトリポジトリを完璧に模倣したプロフェッショナルなデザインのサイトを訪問することから始まります。GitHubの公式リリースへ直接リンクしているように見えるリンクをはじめ、サイト上のすべてが正規のものに見えます。
しかし、ユーザーがダウンロードボタンをクリックした瞬間、隠されたスクリプトがその操作を乗っ取ります。期待していた安全なソフトウェアが直接ダウンロードされる代わりに、ユーザーの接続は奪われ、高度なトラフィック配信システム(TDS)へと転送されます。
この隠されたレイヤーによって、攻撃者は特定の条件に基づいて被害者をフィルタリング・リダイレクトし、最終的に悪意あるペイロードへと誘導することが可能になります。
2026年初頭までに、研究者たちはこのインフラが複数の深刻なマルウェアファミリーを配布していることを確認しており、ソフトウェアサプライチェーン攻撃の危険な進化を示しています。
この攻撃の核心となる手口は、クリックジャッキングと高度なトラフィックルーティングを組み合わせた欺瞞的な手法です。偽サイトは、Amazon CloudFrontのような正規のコンテンツデリバリーネットワーク上にホストされたTDSスクリプトを利用しています。
ユーザーがダウンロードボタンにカーソルを合わせると、ブラウザには本物のGitHubリポジトリのURLが表示され、安全であるという誤った安心感を与えます。しかし、クリックした瞬間、埋め込まれたスクリプトが介入し、通常のダウンロードプロセスを上書きしてしまいます。
この隠されたシステムは、地理的な位置情報、オペレーティングシステム、ブラウザの種類、さらにはIPアドレスの履歴など、複数の要素に基づいてユーザーを評価します。
ユーザーがボットやサイトを調査中のセキュリティ研究者と判断された場合、システムは標準的なウェブブラウザのような完全に無害なアプリケーションや囮ファイルをダウンロードさせるよう誘導することがあります。
しかし、被害者がこれらの巧妙なチェックを通過すると、一連のダイナミックなリダイレクトチェーンへと誘導されます。
これらのパスの一部は悪質なアフィリエイトマーケティングサイトへと誘導し、最も危険なルートは深刻なマルウェアをホストするサーバーへと直接つながっています。
この動的なゲーティングにより、悪意ある挙動は非常に特定の条件下でのみ発動するため、このキャンペーンの追跡は極めて困難になっています。
チェックポイント・リサーチの調査によると、SessionGateは非常に複雑な多段階ローダーです。重度のコード難読化と数多くのアンチ解析機構を備えており、セキュリティ研究者による解析を困難にするよう設計されています。SessionGateは偽の囮インストーラーを使用して、その真の意図を巧みに隠蔽します。
同時に、コマンド&コントロールサーバーと秘密裏に通信を行います。サーバーは被害者ごとに固有の復号キーを発行し、最終的な悪意あるペイロードが意図した端末にのみ安全に配信・実行されるよう保証します。
RemusStealerは、機密データを積極的に収集する危険な情報窃取型マルウェアです。20種類以上のウェブブラウザを標的とし、数百に及ぶ特定のブラウザ拡張機能を狙います。
主な目的は、暗号通貨ウォレットの窃取、二要素認証トークンの詐取、そして一般的なパスワードマネージャーに保存された認証情報の盗取です。
RemusStealerは自動セキュリティスキャナーを回避するためにファイルサイズを人工的に膨らませ、ローカルのデータベースファイル、レジストリキー、クリップボードの内容を密かに抽出して攻撃者のサーバーへ直接送信します。
翻訳元: https://cyberpress.org/fake-security-tools-spread-malware/
