出典:Alex Photo Stock(Alamy Stock Photo経由)
攻撃者は、SEOポイズニングを利用し、人々の人工知能(AI)チャットボットへの関心を悪用して情報窃取型マルウェアを拡散しています。
Zscaler ThreatLabzの研究者が最近このキャンペーンを発見しました。AIをテーマにしたウェブサイトを利用し、ChatGPTやLuma AIといったツールへの関心を利用していることが、最近のブログ記事で明らかにされました。
攻撃者はWordPressを使ってウェブサイトを構築し、「検索エンジンのランキングを汚染し、無防備なユーザーがこれらのウェブページにたどり着く確率を高める」よう設計していると、Manisha Ramcharan Prajapati氏とMeghraj Nandanwar氏が投稿で述べています。
これらのウェブサイトは、JavaScriptによる複数のリダイレクト層を利用して最終的なマルウェアペイロードを隠しており、これにはVidarやLummaなどの情報窃取型マルウェアやLegion Loaderが含まれます。脅威分析やサンドボックスを回避するため、マルウェアのペイロードはしばしば大容量のインストーラーファイルにパッケージ化されていると、研究者らは指摘しています。
「これらのウェブサイトの多くは検索エンジンで上位にランクされており、潜在的な被害者への露出が増加しています」と研究者らは投稿で述べています。「AIツールを検索する際は、人気が高まるにつれて詐欺やマルウェア拡散に悪用されているため、ユーザーは警戒する必要があります。」
攻撃の仕組み
攻撃の連鎖は、ユーザーが悪意のあるサイトの1つにアクセスすることから始まります。これらのサイトは、Google検索でChatGPTやLuma AIを検索した際に上位に表示されることが多いです。例えば、「Luma AI blog」を検索すると、SEOポイズニングサイトが3番目に表示されたと投稿には記載されています。
ページを訪れると、悪意のあるJavaScriptが実行され、ブラウザデータを収集し、XORで暗号化して攻撃者が管理するドメインgettrunkhomuto[.]infoに送信します。サーバー側でデータが復号され、情報が検証された後、302リダイレクトで中間サイトに転送されます。
その中間サイトでは、被害者のパブリックIPをチェックするJavaScriptが提供され、最終的な遷移先を決定します。多くの場合、Vidar Stealer、Lumma Stealer、Legion Loaderなどのマルウェアペイロードをホストした別のウェブページにリダイレクトされると、研究者らは述べています。
VidarとLummaは、ブラウザから認証情報やシステム情報、ブラウザデータ、拡張機能などの機密データを窃取する人気の情報窃取型マルウェアです。Legion Loaderは二次ペイロードを配信するためのマルウェアで、このキャンペーンでは攻撃者が暗号通貨窃取を狙ったブラウザ拡張機能を配信するために使用しています。
検知回避の戦略
このキャンペーンでは、攻撃者がユーザーや脅威ハンターによる悪意のある活動の検知を困難にするため、いくつかの戦術を用いています。1つは、悪意のあるプロセスをトリガーするJavaScriptをAWS CloudFront上にホストしていることです。CloudFrontは、正規のウェブサイトがHTML、CSS、JavaScriptなどのWebコンテンツを配信するために使うコンテンツデリバリーネットワーク(CDN)です。今回の場合、脅威アクターは「これを悪用し、自らの活動を正規のもののように見せ、検知を困難にしている」と研究者らは指摘しています。
攻撃者はまた、LummaとVidarの両方のスティーラーをパスワード付きZIPアーカイブとして、異常に大きなインストーラーとともにパッケージ化し、最終的なダウンロードページでパスワードを提供しています。解凍すると、800MBのNSISインストーラーが含まれており、正規のものに見せかけて検知システムを回避することを意図していると投稿には記載されています。
「NSISインストーラーを実行すると、これらのファイルが適切な順序で結合され、AutoITローダー実行ファイルと難読化されたAutoITスクリプトが生成され、マルウェアペイロード(例:LummaまたはVidar Stealer)の配信メカニズムとして機能します」と研究者らは述べています。
AIの人気が攻撃に影響を与え続けている
AIチャットボットやその他のツールが登場するや否や、脅威アクターは様々な方法でこれらを取り入れ始めました。最近のキャンペーンが示すように、人々の関心を利用してユーザーを詐欺に誘導するケースもあります。
さまざまな脅威キャンペーンは、DeepSeek AIチャットボットを模倣したり、Google Bardの偽サイトからのダウンロードに誘導したり、Facebookページを乗っ取って悪意のあるAIフォトエディタを宣伝するなど、正規のAIツールを利用したいユーザーを騙そうとしています。
AIチャットボットへの関心を悪用する傾向は、「AIツールを検索する際は、人気が高まるにつれて詐欺やマルウェア拡散に悪用されているため、ユーザーは警戒する必要がある」ことを強調していますと、研究者らは述べています。
今回の場合、SEOポイズニングは、無防備なウェブユーザーを悪意のあるキャンペーンに誘導する不完全ながらも効果的な手法であり、キャンペーンのソーシャルエンジニアリング戦略を強化していると付け加えています。
このキャンペーンから身を守るために、組織はLumma、Vidar、Legion Loaderマルウェアに関連するインジケーターを検知できるセキュリティプラットフォームを導入し、機密または重要なデータの侵害を防ぐ必要があります。そのために、ZscalerはLumma、Vidar、Legion Loaderのインジケーター・オブ・コンプロマイズ(IOC)およびZscaler Cloud Sandboxでの検知詳細を提供しています。
翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/ai-seo-poisoning-attack-info-crypto-stealers