- GootloaderマルウェアがマルバタイジングとSEOポイズニングを使って感染を拡大し再登場
- 攻撃者は現在、偽のWebフォントとグリフの置き換えによってマルウェア名を難読化
- ローダーは、侵害された検索結果からランサムウェア、情報窃取型マルウェア、Cobalt Strikeを配信
2025年3月に妨害され停止したと考えられていたGootloaderマルウェア詐欺が、古い手口と新しい手口の両方を使って再び現れたと専門家が警告しています。
Gootloaderは、マルバタイジングやSEOポイズニングを使ってマルウェアを拡散することで知られています。サイバー犯罪者はウェブサイトを新規作成したり、正規のサイトに侵入してNDAテンプレートなどの様々なドキュメントをホストさせます。その後、人気の広告ネットワークで広告を購入したり、SEOポイズニングを行い、無数の記事を作成してキーワードを埋め込み、自分たちが管理するサイトへリンクさせます。
Huntress Labsのアナリストによると、マルウェアをホストする何百ものウェブサイトが確認されており、これら2つの手法を組み合わせることで、人々が様々な用語で検索した際、これらの悪意あるウェブサイトが検索エンジンの最上位に表示され、正規のページよりも先に現れるため、感染リスクが高まると指摘しています。
難読化技術
このキャンペーンは2025年3月に事実上終了しました。セキュリティ研究者によるISPやホスティングプラットフォームへの継続的な圧力により、攻撃者のインフラが停止に追い込まれたためです。
しかし半年の休止期間を経て、Gootloaderは再び登場し、同じ手法でローダーを展開しています。このローダーは、ランサムウェア、情報窃取型マルウェア、Cobalt Strikeビーコンなど様々なマルウェアを配信します。
研究者によれば、最大の違いは新たな難読化技術です。攻撃者はJavaScriptを使い、特殊なWebフォントでマルウェアの実際のファイル名を隠し、文字を見た目が同じ記号に置き換えます。HTMLソースでは意味不明な文字列に見えますが、ページが表示されると通常の単語として表示されます。
「OpenTypeの置換機能や文字マッピングテーブルを使うのではなく、ローダーは各グリフが実際に表示する内容を入れ替えています。フォントのメタデータは完全に正規に見えます。例えば文字『O』はグリフ『O』に、文字『a』はグリフ『a』にマッピングされています」とHuntressは述べています。
「しかし、これらのグリフを定義する実際のベクターパスが入れ替えられています。ブラウザがグリフ『O』の形状を要求すると、フォントは『F』の文字を描くベクター座標を返します。同様に『a』は『l』、『9』は『o』、特殊なUnicode文字『±』は『i』を描画します。ソースコード上の意味不明な文字列『Oa9Z±h•』は、画面上では『Florida』として表示されます。」
出典: BleepingComputer
GoogleニュースでTechRadarをフォロー、そして 優先ソースに追加して、私たちの専門ニュース、レビュー、意見をフィードで受け取りましょう。必ず「フォロー」ボタンをクリックしてください!
もちろん、TikTokでTechRadarをフォローして、ニュースやレビュー、開封動画などのビデオ形式の最新情報を受け取ったり、WhatsAppでも定期的なアップデートを受け取れます。
