TokyoBlackHatNews

cyberpress.org 4分で読了

脅威アクターがGoogle広告を悪用し、TamperedChefを仕込んだPDFエディターを宣伝

高度なマルバタイジング(悪意ある広告)作戦により、一見正規に見えるPDF編集アプリケーションが武器化され、TamperedChef情報窃取型マルウェアを配布し、19か国で100以上の組織が侵害されました。

マネージド検知・対応(MDR)チームは2025年9月にこのキャンペーンを発見し、起動前に感染を最大化するために設計された56日間の休眠期間があることを明らかにしました。

より大規模なEvilAI作戦の一部とみられるこのキャンペーンは2025年6月26日に開始され、脅威アクターは複数のドメインを登録し、Google広告と検索エンジン最適化(SEO)ポイズニングを通じて、トロイの木馬化されたAppSuite PDF Editorを宣伝しました。

悪意あるアプリケーションは被害者に対しては完全に機能しているように見えましたが、裏でWindowsシステムを標的とする認証情報窃取機能を密かに展開しました。​

テレメトリにより19か国の被害者が確認され、感染の約15%をドイツが占め、次いで英国が14%、フランスが9%でした。

研究者は、意図的な地理的ターゲティングというよりも、有料広告プラットフォームを通じたキャンペーンの広範な世界的到達範囲を反映した分布だと考えています。​

専門的な技術機器に大きく依存する業界が不釣り合いに大きな影響を受けました。これは従業員が製品マニュアルをオンラインで頻繁に検索するためとみられ、TamperedChefの運用者は正規のマニュアルライブラリサイト上の悪意ある広告を通じてこの行動を積極的に悪用しました。​

攻撃チェーンは通常、ユーザーが家電のマニュアルやPDF編集ソフトを検索するところから始まります。

悪意あるGoogle広告は被害者をfullpdf[.]comやpdftraining[.]comといった欺瞞的なドメインへリダイレクトし、そこでAppsuite PDF.msiインストーラーをダウンロードさせます。

実行されると、インストーラーはPDFEditorSetup.exeと、研究者がシグネチャベースの検知を回避するためのAI生成コードを含む可能性があると疑う、強く難読化されたJavaScriptファイル(pdfeditor.js)を展開します。

マルウェアは、HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PDFEditorUpdaterレジストリキーを変更し、–install、–fullupdate、–checkを含む特定のコマンドラインフラグ付きのスケジュールタスクを作成することで永続化を確立します。

インストールされたPDF Editor.exeバイナリはまず、レジストリ照会を通じて、Bitdefender、Check Point、Fortinet、G DATA、Kaspersky、Zillyaなどのベンダーのセキュリティ製品を列挙します。

第2段階のペイロードであるManualFinderApp.exeはバックドア機能を提供し、portal. manualfinder[.]appやmka3e8[.]comを含むコマンド&コントロール(C2)基盤と通信します。

このキャンペーンの高度さは、マレーシアおよび米国の組織によって発行された正規のコード署名証明書を意図的に取得または侵害している点にも及びます。対象にはECHO Infini SDN. BHD、GLINT by J SDN. BHD、SUMMIT NEXUS Holdings LLCが含まれます。

Sophosによると、これらの証明書はWindows SmartScreenの保護を回避し、潜在的な被害者に対して偽の信頼を確立します。

当局は確認された証明書を失効させましたが、研究者は脅威アクターが追加の署名資格情報を入手する可能性があると警告しています。

インストールからペイロード起動までの56日間の遅延は、技術的制約ではなく、計算された戦略を反映しています。

この期間は一般的な30~60日の広告キャンペーン期間と正確に一致しており、セキュリティベンダーに警戒される悪意ある挙動を発動する前に、運用者が感染端末数を最大化できるようにしています。

組織は、影響を受けたシステム上のブラウザーに保存されたすべての認証情報が侵害されたものとして扱い、直ちにパスワードをリセットするとともに、多要素認証の強制を実施すべきです。

セキュリティチームは、ユーザープロファイルディレクトリから実行され、GUIDのようなタスク名(例:sys_component_health_bb1b47cb-962f-fb06-4b84-87ad12b4f37f8de0)を使用して正規のWindowsメンテナンスプロセスを模倣する、不審なスケジュールタスクを監視すべきです。

翻訳元: https://cyberpress.org/google-ads-pdf-editor-tamperedchef-malware/

ソース: cyberpress.org
#Google広告 #PDFエディタ #TamperedChef #Windowsマルウェア #インフォスティーラー #コード署名証明書悪用 #トロイの木馬 #マルバタイジング #永続化(レジストリ・スケジュールタスク) #認証情報窃取

関連記事

オペレーション・パワーオフ:7万5000人のDDoS攻撃者と50以上のサービスドメインを摘発

Windows Defender ゼロデイ脆弱性の流出が活発な悪用キャンペーンを加速

OpenAIが信頼できる組織向けGPT-5.4-Cyberアクセスで防御プログラムを拡大