TokyoBlackHatNews

gbhackers.com 5分で読了

Google広告が悪用され、悪意あるPDFエディターを通じてTamperedChefを配布

「TamperedChef」として追跡されている高度なマルバタイジング(悪意ある広告)キャンペーンにより、Google広告を通じて武器化されたPDF編集ソフトが配布され、19か国の100以上の組織が侵害されました。

SophosのManaged Detection and Response(MDR)チームは2025年9月にこの作戦を発見し、ブラウザの認証情報を窃取し、Windowsシステム上で永続的なバックドアアクセスを確立するよう設計された多層的な攻撃インフラを明らかにしました。

セキュリティ研究者がより広範なEvilAI作戦に関連付けているこのキャンペーンは、2025年6月に、脅威アクターがAppSuite PDF Editorと呼ばれるトロイの木馬化されたアプリケーションを宣伝する多数の偽装ドメインを登録したことから始まりました。

ManualsLibのような正規サイト上の悪意ある広告や検索エンジン最適化(SEO)手法を活用することで、攻撃者は製品マニュアルやPDF編集ツールを探しているユーザーを誘導し、感染したインストーラーをダウンロードさせることに成功しました。

マルウェアは約56日間休眠した後、2025年8月21日に認証情報窃取機能を有効化しました。

Sophos MDRのアナリストは、被害者の15%を占めるドイツが最も影響を受けた国であり、次いで英国が14%、フランスが9%であると特定しました

このキャンペーンは主に、専門的な技術機器に依存する業界を狙い、家電のマニュアルやドキュメントをオンラインで頻繁に検索するユーザーを標的にしました。

セキュリティテレメトリにより、連携したテイクダウン作戦が開始される前に、影響を受けた組織全体で300台を超えるシステムが侵害されていたことが確認されました。

マルバタイジングによる配布

TamperedChef作戦は、56日間の休眠期間を通じて高度な回避戦術を示し、一般的な広告キャンペーンの期間に戦略的に合わせていました。

この遅延により、脅威アクターは悪意ある挙動を発動させる前に感染を最大化でき、検知は著しく困難になりました。

Image
TamperedChefの攻撃チェーン(出典:SOPHOS)。

スポンサー付き検索結果をクリックしたユーザーは、fullpdf[.]comやpdftraining[.]comなどの不正ドメインへリダイレクトされ、そこにAppsuite PDF.msiインストーラーがホストされていました。

実行されると、インストーラーはPDFEditorSetup.exeを展開し、レジストリの変更とスケジュールタスクによって永続化を確立しました。

マルウェアには強く難読化されたJavaScriptファイル(pdfeditor.js)が含まれており、研究者はAI生成である可能性があるとみています。これにより、シグネチャベースのアンチウイルス検知を回避できる固有の亜種が作成されました。

主要ペイロードであるPDF Editor.exeは、正規のPDF編集ツールとして機能すると同時に、ブラウザに保存された認証情報を狙う隠れたインフォスティーラーとしても動作しました。

データ窃取を実行する前に、マルウェアはレジストリ照会を通じて、Bitdefender、CheckPoint、Fortinet、G DATA、Kaspersky、Zillyaなどのインストール済みセキュリティ製品を列挙しました。

ブラウザの稼働プロセスを終了させ、Windows Data Protection API(DPAPI)を悪用して、Google Chrome、Microsoft Edge、その他のブラウザから保存済みの認証情報、Cookie、自動入力データを抽出しました。

BingのクリックURLには追跡およびリダイレクト用パラメータが含まれており、ユーザーがブラウザにManualsLibのURLを直接入力したのではなく、検索エンジンの結果または広告リダイレクト経由でManualsLibページに到達したことを示しています。

Image
ManualsLibの掲載情報(出典:SOPHOS)。

このキャンペーンは、ManualFinderApp.exeという二次ペイロードを展開し、mka3e8[.]comおよびportal[.]manualfinder[.]appドメインとコマンド&コントロール通信を確立しました。

このバックドアコンポーネントにより、リモートコード実行と、侵害されたシステムからの継続的なデータ流出が可能になりました。

これらの証明書により、悪意あるインストーラーはWindows SmartScreenの保護を回避し、ユーザーに正規のものとして見せかけることができました。いくつかの証明書は失効していますが、既存のインストールは引き続き機能しており、攻撃者は新たな署名資格情報を入手して作戦を継続する可能性があります。

緩和策

脅威アクターは、ECHO Infini SDN. BHD、GLINT by J SDN. BHD、SUMMIT NEXUS Holdings LLCなど、マレーシアおよび米国登録の事業体から不正なコード署名証明書を入手しました。

Image
ManualFinderApp.exeのバージョン詳細(出典:SOPHOS)。

Sophosは、Mal/Isher-Gen、JS/Agent-BLMN、Troj/EvilAI-H、OneStart.aiの検知シグネチャを含む、TamperedChef亜種に対する複数の防御を展開しました。

組織は、影響を受けたシステム上のブラウザ保存認証情報がすべて侵害されたものと見なし、企業アカウント全体で直ちにパスワードをリセットすることを検討すべきです。

セキュリティチームは、ユーザープロファイルディレクトリから実行される不審なスケジュールタスクや、TamperedChefの活動指標としてCurrentVersion\Runキー配下のレジストリ変更を監視すべきです。

翻訳元: https://gbhackers.com/google-ads-exploited/

ソース: gbhackers.com
#Google広告 #PDFエディタ偽装 #Sophos MDR #TamperedChef #Windowsマルウェア #インフォスティーラー #コードサイニング証明書悪用 #ブラウザ認証情報窃取 #マルバタイジング #永続化(レジストリ・タスクスケジューラ)

関連記事

CVE-2023-33538攻撃でTP-LinkルーターがMiraiに襲われる

SEO中毒攻撃がMicrosoftバイナリを使用してRMMツールをインストール

工業用システムが新しいメールワーム脅威波に見舞われている