サイバー犯罪者は、Notepad++、PuTTY、Google Chromeといった人気ツールの検索結果を支配するために、SEOポイズニングをますます利用しています。
これらの攻撃は、バックドアやリモート管理ツール (RAT)を展開する悪意のあるBATファイルが仕込まれたZIPアーカイブを、ユーザーにダウンロードさせるよう仕向けます。
最近のUnit42 Intelのアラートでは、攻撃者がオンラインリポジトリを悪用し、初期感染後にC2サーバーがRATのペイロードを配信していることが強調されました。
SEOポイズニングとは、GoogleやBingで上位表示されるようキーワードで最適化した偽サイトを作成する手口です。
攻撃者は正規ソフトウェアの大量検索を狙い、公式サイトを模倣したcn-notepadplusplus[.]comやputty[.]runのようなドメインを使用します。中国語話者が集中的に狙われていますが、世界規模のキャンペーンでは管理ツールを探すIT管理者も標的になります。
ユーザーが上位の検索結果をクリックすると、ダウンロードを促すフィッシングページに誘導されます。Black Catのようなグループは、2025年12月以降、中国だけで277,800台以上のホストを侵害し、1日あたりの感染数は最大62,167件に達しました。
この手口は、正規アプリにマルウェアを同梱することで検知を回避し、感染をステルス化します。
感染は、本物らしいダウンロードボタンがgithub.zh-cns[.]topのようなGitHub風ドメインへリダイレクトするところから始まります。被害者は、QQ InternationalやiToolsといったアプリになりすましたBATスクリプトを含むZIPファイルをダウンロードします。
攻撃者はキャンペーン間でインフラを使い回します。以下を監視してください:
これらのIOCは、(2022年から活動している)Black Catや、暗号資産の窃取やランサムウェアで利益を得る他の勢力に関連しています。
ITプロフェッショナルや企業は、SSHクライアント(PuTTY)やエディタ(Notepad++)などのツール需要があるため、標的の上位に挙げられます。
影響には、データ窃取、ラテラルムーブメント、Rhysidaのようなランサムウェアが含まれます。Black Catは同様のなりすましを通じて、暗号資産で16万ドルを盗みました。
Darktraceのようなセキュリティ企業 Darktrace やFortinetは、SEO操作されたトラフィックに対してAI駆動の異常検知を推奨しています。HaxorSEO(ブースト1回6ドル)のようなバックリンク市場とともにキャンペーンが進化する中、警戒が重要です。
翻訳元: https://cyberpress.org/hackers-poison-google-searches/