広告が世界を動かす時代、この強力な手段を使っているのは企業や組織だけではありません。サイバー犯罪者は、オンラインプラットフォームを支えるエンジンを悪用することに長けており、広告の広大な到達範囲を汚染してマルウェアを大量配布します。
正規の企業が広告で新しいオーディエンスにリーチする一方で、ハッカーはこれらのプラットフォームを悪用し、ユーザーをだまして有害なソフトウェアをダウンロードさせます。悪意ある広告は、正規のソフトウェア、ストリーミングサービス、製品を宣伝しているように見えることが多く、ユーザーが安全なコンテンツと危険なコンテンツを見分けるのは困難です。
Bitdefender Labsは長年にわたりマルバタイジングを追跡し、サイバー犯罪者がこれらの手口を用いて世界中の人々を標的にする方法を分析してきました。最新の調査では、Metaの広告プラットフォームを悪用してSYS01 InfoStealerマルウェアを拡散する拡大中のキャンペーンに焦点を当てています。
この継続中の攻撃は、人気ブランドになりすまして個人データを盗むマルウェアを配布しています。このマルバタイジングキャンペーンの規模と巧妙さは、サイバー犯罪者が広告を自らの利益のために武器化する点でどれほど進化したかを浮き彫りにしています。
本記事では、SYS01キャンペーンの仕組み、それを支えるサイバー犯罪者のビジネスモデル、そしてハッカーが乗っ取ったアカウントを使って作戦を継続させる方法を解説します。さらに、ユーザーが身を守るための重要な対策も紹介します。
主な調査結果:
- 継続中の攻撃:少なくとも1か月にわたりMetaプラットフォームで被害を拡大させているマルバタイジングキャンペーンは、日々新しい広告が出現するなど継続的に進化しています。SYS01 InfoStealerマルウェアはこのキャンペーンの中核的な武器となり、複数のプラットフォームにわたって被害者を効果的に狙っています。
- ElectronJsによる配布と、なりすまし対象の拡大:従来のマルバタイジングキャンペーンと比べ、SYS01マルウェアは現在ElectronJsアプリケーションを通じて配布されています。到達範囲を最大化するため、脅威アクターは幅広い有名ソフトウェアツールになりすまし始めており、より広いユーザーベースを標的にできる可能性が高まっています。
- 悪性ドメインの広範な利用:このマルバタイジングキャンペーンは、ほぼ100に及ぶ悪性ドメインを活用しています。これらはマルウェア配布だけでなく、ライブのコマンド&コントロール(C2)運用にも使われ、脅威アクターがリアルタイムで攻撃を管理できるようになっています。
- 大規模なブランドなりすまし:キャンペーンの背後にいるハッカーは、信頼されるブランドを利用して到達範囲を拡大しています。Bitdefender Labsの研究者は、CapCutのような人気動画編集ソフト、Office 365のような生産性ツール、Netflixのような動画配信サービス、さらにはビデオゲームにまでなりすました広告が、ユーザーを誘い込むために使われていることを確認しました。広範ななりすましにより幅広い層を取り込める可能性が高まり、キャンペーンの効果が非常に高くなっています。
- 世界規模の到達:この攻撃の範囲は世界的で、潜在的な被害者は数百万人規模に及び得ます。対象地域はEU、北米、オーストラリア、アジアなどで、特に45歳以上の男性が中心です。MetaはEU域内での広告影響に関するデータを一部提供していますが、域外、特に米国においてこれらの悪意ある広告がユーザーにどのような影響を与えているかについては透明性が限られています。
- 動的な回避戦術:脅威アクターは戦略を継続的に進化させ、検知を回避するために悪性ペイロードをほぼリアルタイムで適応させています。アンチウイルス企業がマルウェアドロッパーのあるバージョンを検知・ブロックすると、ハッカーは難読化手法を強化し、更新版を載せた新しい広告を再投入します。
悪意ある広告キャンペーン
ソーシャルメディア広告を通じて配布されるマルウェア自体は犯罪サイバー空間における新機軸ではありませんが、9月に始まったこのキャンペーンは、配布された悪性サンプルと、サイバー犯罪者が用いた汎用的ななりすまし手法によって際立っていました。Bitdefenderは以前、人工知能ソフトウェアになりすました広告や、「挑発的」コンテンツを約束する広告を通じて配布されたインフォスティーラーを分析しています。
現在のキャンペーンでは、脅威アクターは生産性、動画・写真編集(Capcut、Canva、Adobe Photoshop)、仮想プライベートネットワーク(Express VPN、VPN Plus)、Netflixのような映画ストリーミングサービス、Telegramのようなインスタントメッセージングソフト、さらにはビデオゲームに至るまで、多数のソフトウェアツールになりすましています。
一部の広告は数週間にわたって配信され続け、主に高齢男性をターゲットにすることがあります。
なりすましに使われたビデオゲームについては、2つのアプローチを観測しました。1つ目は、Super Mario Bros Wonderの広告を宣伝し、悪性サンプルを直接提供するものです。
2つ目は、汎用的なゲームダウンロードプラットフォーム(有名タイトルやBlack Myth: Wukongのような最近のヒット作を含む)になりすました悪性ドメインを再利用するものです。脅威アクターは、以前の広告から入手したものと似た新しいサンプルに対して、ダウンロードの仕組みも変更していました。
なりすまし対象の多さ、配布された広告数(数千件)、特定の広告が数万人に到達している点を踏まえると、この悪意ある広告インフラは数百万人に到達し得ると言って差し支えありません。たとえ大半のオーディエンスが広告に反応しない、あるいは悪性サンプルをダウンロードしないとしても、これほど大きな潜在的被害者プールは、事実上成功を保証します。
SYS01インフォスティーラーのマルバタイジングキャンペーンにおける配布手口
広告は通常、MediaFireのリンクを指すか、悪性ソフトウェアを直接ダウンロードできるリンクを参照します。サンプルは.zip アーカイブの形で入手され、その中にElectronアプリケーションが含まれています。展開後のアーカイブ構造はサンプルによって異なる場合がありますが、感染手法は同じです。Electronアプリに埋め込まれたJavaScriptコードが、最終的に悪性ソフトウェアをドロップして実行します。
多くの場合、マルウェアはバックグラウンドで動作し、囮のアプリ(広告で宣伝されたソフトウェアを模倣していることが多い)が一見正常に機能しているように見えるため、被害者は侵害に気づきにくくなります。
Electronフレームワークで作成されたアプリケーションはASARアーカイブ(Atom Shell Archive Format)にバンドルされます。展開されたアーカイブはすべて、app.asar ファイルを含むか、ASARファイルをメイン実行ファイルに直接組み込んでいました。ASARアーカイブには、通常のアプリアイコンに加えて、多数の不審なファイルが含まれています:
- パスワード保護された別のアーカイブ;
- 正規の圧縮/解凍実行ファイル(例:7za.exe – c136b1467d669a725478a6110ebaaab3cb88a3d389dfa688e06173c066b76fcf。これは7zipのスタンドアロン版);
- 難読化コードを含むmain.js ファイル;
- [任意] 中継として使われるPowerShellスクリプト;
- よく知られたGPUモデルを含むテキストファイル。
JavaScriptファイルを復号(難読化解除)すると、PowerShellコマンドがスタンドアロンの7zipを実行するために使われ、パスワード保護されたアーカイブの展開を可能にしていることが分かります。
実行されるPowerShellスクリプトには、一見無関係に見える操作(検知回避および/または解析をさらに複雑化するために使用)に挟まれて、別の実行コマンドが含まれています:
ただしその前に、main.jsスクリプトはホストのGPUを列挙することで、サンドボックス内で実行されているかどうかをチェックします:
その後、PowerShellコマンドの応答は、同梱されたテキストファイルに含まれるGPUモデルと照合されます。GPUモデルが事前定義リストにない場合、悪性の実行は行われません。
悪性のmain.jsの新しいバージョンでは、仲介のPowerShellスクリプトをスキップし、解凍処理を直接実行します((_0x3ddef2 が7zip実行ファイルを指します):
最後に、スクリプトは、先に展開されたパスワード保護アーカイブに含まれていたPHPインタープリタとPHPスクリプトを用いて、別プロセスの開始をトリガーします。
PHPサンプルはIonCube Loaderでエンコードされており、マルウェア解析を困難にしています。通常、展開された内容には2つの悪性サンプル(index.php とinclude.php)が見つかり、一部のサンプルにはtest.phpが含まれます。
マルウェアがサンドボックス実行チェックを通過すると、最初に実行されるスクリプトはinclude.phpになります。このスクリプトは、タスクスケジューラで2つのタスクを作成することでマルウェアの永続化を実現します:
- WDNA – rhc.exe php.exe index.php というコマンドにより、PHPインフォスティーラーを定期的に実行することを保証します。このタスクは、スクリプトが初めて実行された日付を起点に、2分ごとに実行されます。
- WDNA_LG – マルウェアを実行したユーザーがログオンするたびに、include.phpスクリプト(何らかの形で変更されても永続化を再保証するため)とindex.phpの両方を実行します。
php.exe index.php プロセスのメモリダンプを解析すると、いくつかの興味深い事実が明らかになります:
- `SYS01`という文字列が複数回出現する;
- マルウェアが利用可能なC2ドメインが多数ある;
- TelegramボットやGoogleページを使って、さらに多くのドメインを取得できる;
- プロセスは悪意のある意図を持ち得るSQLコマンド(例: SELECT * FROM moz_cookies)を使用する。
- Facebookおよびその一部APIに向けた複数のURLがあり、特にビジネスページを含むFacebookアカウントに関する情報収集が、このインフォスティーラーの目的の1つであることをさらに示している。
インフォスティーラーは、ハードコードされたC2ドメイン、またはTelegramボットやGoogleページを用いて簡単なコマンドで動的に取得したC2ドメインのいずれかと通信するようです。例えば、C2が稼働しているかは、次のようにHTTPコールを行って確認できます:
https://{C2_DOMAIN}/api/rss?a=ping
さらに、マルウェアはコマンドを送信することでC2サーバーからカスタムコマンドを取得できます。例として、get_ck_all 操作があり、クッキーやトークンをスクレイピングする対象となり得るブラウザが示されます。
このC2応答では、resource フィールドに、被害者のFacebookアカウント情報を取得するために使用できる複数のMeta Graph APIコールも含まれています:
インフォスティーラーの中核機能が、悪意あるプロセスで利用されたりダークウェブで売買されたりし得るFacebookページ候補に関する情報を収集することである点は、すでに明白になりつつあります。
回避戦術
これらの攻撃の背後にいるサイバー犯罪者の適応力により、SYS01 InfoStealerキャンペーンは特に危険です。彼らは高度な回避戦術を用いて、インフォスティーラーをサイバーセキュリティツールから隠します。マルウェアはサンドボックス検知を行い、アナリストがマルウェアを調査するために用いる制御環境で実行されていると検知すると動作を停止します。これにより、多くの場合に未検知のまま残ることが可能になります。このケースでは、主要コンポーネントの実行前に毎回、アンチサンドボックスチェックが行われます。対象は、JavaScriptアンパッカー、永続化を担保するPHPスクリプト、そしてPHPインフォスティーラーです。
サイバーセキュリティ企業がローダーの特定バージョンを検知してブロックし始めると、ハッカーはコードを更新して迅速に対応します。そして最新のセキュリティ対策を回避する更新版マルウェアを含む新しい広告を配信します。
サイバー犯罪者のビジネスモデル
このキャンペーンの成功は、悪意ある運用を自己持続させる高度に構造化されたビジネスモデルによって支えられています:
攻撃を駆動するためのFacebookアカウント乗っ取り
SYS01InfoStealerの主要な目的は、Facebookの認証情報、特にFacebook Businessアカウントの情報を収集することです。ハッカーがこれらのアカウントにアクセスすると、個人データを悪用するだけでなく、乗っ取ったアカウントを使ってさらに悪意ある広告を配信します。
侵害されたアカウントを通じてFacebookの広告ツールにアクセスできれば、サイバー犯罪者は疑いを招くことなく大規模に新しい悪性広告を作成できます。正規のFacebook Businessアカウントを使用することで広告はより信頼できるように見え、通常のセキュリティフィルターも回避しやすくなります。これにより攻撃はさらに拡散し、新たな広告の波が来るたびにより多くの被害者へ到達します。
攻撃のスケール拡大
乗っ取られたFacebookアカウントは、作戦全体を拡大するための基盤として機能します。侵害された各アカウントは、追加の悪性広告を宣伝するために再利用でき、ハッカー自身が新しいFacebookアカウントを作成する必要なくキャンペーンの到達範囲を増幅できます。これは、悪性ダウンロードへのトラフィックを継続的に誘導するための、費用対効果が高く時間効率の良い方法です。マルバタイジング事業は費用対効果が高いだけでなく、脅威アクターが目立たない形で活動でき、メールのフィッシングキャンペーンのような従来型またはより露骨なアカウント侵害手法に依存しなくて済むという利点もあります。
収益化とデータ窃取
サイバー犯罪者は、乗っ取ったアカウントを使ってキャンペーンの資金源や宣伝に利用するだけでなく、盗んだ認証情報を地下マーケットプレイスで販売して収益化することもできます。Facebook Businessアカウントは特に価値が高いとされています。ログイン情報、金融情報、セキュリティトークンなどを含む盗まれた個人情報は、他の悪意あるアクターに売却され、なりすまし犯罪やその他の攻撃の燃料として利用される可能性があります。こうして新たな被害者は収益源へと変えられます。
侵害指標(IOC)
マルウェアホスティングドメイン
- hxxps://krouki.com
- hxxps://kimiclass.com
- hxxps://goodsuccessmedia.com
- hxxps://wegoodmedia.com
- hxxps://socialworldmedia.com
- hxxps://superpackmedia.com
- hxxps://wegoodmedia.com
- hxxps://eviralmedia.com
- hxxps://gerymedia.com
- hxxps://wakomedia.com
C2ドメイン
- hxxps://musament.top
- hxxps://enorgutic.top
- hxxps://untratem.top
- hxxps://matcrogir.top
- hxxps://ubrosive.top
- hxxps://wrust.top
- hxxps://lucielarouche.com
- hxxps://ostimatu.top
注:これはSYS01キャンペーンに関連するIOCの短いリストに過ぎません。
最新の完全な侵害指標リストは、 Bitdefender Advanced Threat Intelligence ユーザー向けに こちらで提供されています。
身を守る方法
- 広告を精査する:無料ダウンロードをうたう広告や、うますぎる話に見える広告のクリックには注意してください。Metaのような信頼できるプラットフォーム上であっても同様です。ソフトウェアをダウンロードする前に、必ず提供元を確認しましょう。
- 公式ソースのみを利用する:ソフトウェアは常に公式サイトから直接ダウンロードし、サードパーティのプラットフォームやファイル共有サービス経由ではダウンロードしないでください。
- セキュリティソフトを導入し、最新の状態に保つ:信頼できるセキュリティソフトをインストールし、常に最新の状態に保ってください。SYS01のように進化する脅威を検知できるセキュリティソリューションを選びましょう。
- 二要素認証(2FA)を有効にする:Facebookアカウント、特にビジネス用途で利用している場合は、2FAが有効になっていることを確認してください。認証情報が侵害された場合でも、追加の防御層になります。
- Facebook Businessアカウントを監視する:不正アクセスや不審な活動がないか、ビジネスアカウントを定期的に確認してください。異常な挙動が見られた場合は、直ちにFacebookへ報告し、ログイン認証情報を変更してください。
すべてのデバイスで包括的な保護を入手
Bitdefenderの包括的な多層防御は、ウイルス、マルウェア、スパイウェア、ランサムウェア、そして最も巧妙なフィッシング攻撃まで、あらゆるサイバー脅威からあなたを守ります。
プランは こちらで確認できます。
誰かがあなたをだまそうとしている疑いがある場合や、Webサイトが不審に見える場合は、AI搭載の詐欺検知サービス無料のScamioでチェックしてください。テキスト、メッセージ、リンク、QRコード、画像をScamioに送信すると、詐欺の一部かどうかを判定するために分析します。Scamioは無料で、 Facebook Messenger、 WhatsApp、 Webブラウザ、およびDiscordで利用できます。 また、 フランス、 ドイツ、 スペイン、 イタリア、 ルーマニア、 オーストラリア、および 英国でScamioを共有して、他の人の安全確保にも協力できます。
