ScreenConnectを悪用したマルウェアキャンペーン、SEOポイズニングでフリーウェアのダウンロードを狙う

Kasperskyのセキュリティ研究者らは、正規のリモート管理ツール「ScreenConnect」を悪用する大規模かつ多言語対応のマルウェアキャンペーンを発見しました。

攻撃者は高度な検索エンジン最適化(SEO)ポイズニングを駆使し、悪意あるWebサイトをGoogleやBingの検索結果上位に押し上げることで、利用者に正規のフリーウェアだと誤認させてダウンロードさせています。

この高度に組織化された攻撃は、最終的にリモートアクセス型トロイの木馬「AsyncRAT」を展開します。これにより攻撃者は侵害したシステムを継続的に遠隔操作し、機密データを窃取できるようになります。

IntCyberDigestおよびKasperskyの報告によると、この広範な脅威は2025年後半に初めて浮上しました。そして2026年初頭にかけて拡大し、企業ネットワークと個人ユーザーの双方を世界規模で標的にしています。

この攻撃の中核を担うのは、米国とドイツのサーバーでホストされた90を超える偽装ドメインからなる大規模なインフラです。

これらの悪意あるWebサイトは、OBS Studio、DS4Windows、Process Hacker、DNS Jumperといった人気のオープンソース・フリーウェアアプリケーションの公式ダウンロードサイトを精巧に模倣しています。

攻撃者はSEOポイズニング手法を用いて偽ドメインをオーガニック検索結果の上位にランクインさせ、警戒心のない利用者が正規のベンダーサイトではなく自分たちのリンクをクリックする可能性を高めています。

ランディングページは英語、ロシア語、中国語、ドイツ語、スペイン語、アラビア語を含む複数言語にローカライズされており、国際的に広範な標的選定戦略であることがうかがえます。thehackernews+3

利用者がこれらの偽サイトから侵害されたインストーラーをダウンロードすると、正規のデジタル署名済みMicrosoft実行バイナリと悪意あるライブラリファイルが同梱されたアーカイブを受け取ることになります。

この展開の仕組みにはDLLサイドローディングと呼ばれる手法が使われています。主要な実行ファイルが気づかぬうちに悪意あるDLLを読み込み、バックグラウンドでカスタマイズされたScreenConnectサービスをひそかにインストールします。

正規のツールに見せかけるため、利用者が求めたフリーウェアアプリケーション自体は問題なくインストールされ、通常のグラフィカルインターフェースを通じて提示されます。

この二段構えの手口により、期待通りのソフトウェアが正常に動作するため、被害者は自身のシステムが侵害されたことに気づかないままとなります。

Securelistによると、ScreenConnectサービスが起動すると管理者権限で動作し、難読化されたPowerShellおよびVBScriptファイルを一連実行して永続化と検知回避を図るとしています。

このマルウェアはC:\ドライブ全体を対象にMicrosoft Defenderの除外設定を構成し、さらにユーザーアカウント制御(UAC)プロンプトを無効化します。

注記: IPアドレスおよびドメインは、誤って名前解決やハイパーリンク化されるのを防ぐため、意図的に無害化表記([.]など)にしています。再度有効な形式に戻す作業は、MISP、VirusTotal、SIEMなど管理されたスレットインテリジェンス基盤内でのみ行ってください。

翻訳元: https://cyberpress.org/seo-poisoning-spreads-screenconnect/

ソース: cyberpress.org