過去1年間、Bitdefenderの研究者は、当初Facebook広告を通じて拡散し、「TradingView Premium」やその他の取引/金融プラットフォームへの「無料アクセス」をうたう、執拗な悪意あるキャンペーンを監視してきました。
Bitdefender Labsの研究者によると、このキャンペーンは現在Metaプラットフォームの枠を超えて拡大し、YouTubeとGoogle広告の双方に侵入しており、コンテンツクリエイターと一般ユーザーの双方を、より高いリスクにさらしています。
正規の広告とは異なり、これらの悪意あるキャンペーンはユーザーをマルウェア混入のダウンロードへリダイレクトし、認証情報を盗み、アカウントを侵害することを狙っています。
これらの世界規模のマルバタイジング(悪意ある広告)キャンペーンについては、こちらで詳しく読めます:
- Meta上のマルバタイジング・キャンペーンがAndroidへ拡大、先進的な暗号資産窃取マルウェアを世界中のユーザーに拡散
- Facebook広告の武器化:暗号資産ブランドを悪用する多段階マルウェア・キャンペーンの内幕
- Pi2Day詐欺:マルウェアを配布しウォレットを盗む、連携したFacebook広告キャンペーンで暗号資産ユーザーが標的に
- Facebook広告詐欺が投資家をだます:偽メッセージと「認証済みFacebookアプリ」を装ったマルウェア
乗っ取られたGoogle広告アカウントと、YouTube上でのTradingViewなりすまし:詐欺の仕組み
TradingViewになりすます詐欺の詳細を調査したところ、研究者は、脅威アクターがノルウェーのデザイン代理店のGoogle広告主アカウントを乗っ取っていたことを突き止めました。別途、サイバー犯罪者はYouTubeアカウントも掌握し、Googleの広告システムを通じて被害者をそこへ誘導し始めました。今回も、侵害されたYouTubeチャンネルの認証済みステータスに加え、新しいブランディングとTradingViewのビジュアルが組み合わさることで、サイバー犯罪者は公式のTradingViewチャンネルになりすますことができました。リブランディングされたチャンネルは、次の点によりTradingViewのものとほぼ見分けがつかないように作られていました:
- 公式ブランディングの再利用:ロゴ、バナー、視覚要素が本物のTradingViewと同一。
- プレイリストのミラーリング:ホームページ上のプレイリストが公式TradingViewチャンネルからリンクされており、偽チャンネル自身には動画がなくても活動しているように見える。
- YouTubeの認証バッジの悪用:チャンネルは以前、正当な理由で認証されていたため、ユーザーは深く確認せずに本物だと信じてしまう。
こちらも読むとよいでしょう: 悪意あるFacebook広告が偽の「Meta Verified」ブラウザー拡張機能を拡散し、アカウントを窃取
さらに詳しく見ると、いくつかの危険信号が浮かび上がります:
- チャンネルのハンドルが異なる(@TradingViewではない);
- チャンネル自体にオリジナルコンテンツがない。登録視聴回数は96回のみで、TradingViewの人気を考えると正規チャンネルではあり得ない;
- なりすましは、課金枠でのみ表示される限定公開の広告動画に全面的に依存しており、公開の監視を回避している;
ある広告動画のタイトルは「無料TradingView Premium – 彼らがあなたに知られたくない秘密の方法」です。限定公開にもかかわらず、攻撃的な広告配信により、わずか数日で18万2,000回超の視聴を獲得しました。
動画の内容は一般的な宣伝で、TradingViewアプリケーションの機能に言及しています。限定公開動画の説明欄には、ユーザーが悪意ある実行ファイルをダウンロードできるリンクが含まれています。Meta広告の場合と同様、攻撃者がリクエストを正当な標的からのものではないと判断した場合、ユーザーは無害なページに誘導されることがあります。
なぜ限定公開動画なのか? もちろん、限定公開という状態は意図的です。公開検索で見つからないため、これらの悪意ある動画は安易な通報やプラットフォームのモデレーションを回避できます。その代わり、広告枠を通じてのみ表示され、標的に確実に届きつつ、一般の目からは隠れたままになります。
説明文では、取引の簡素化、パーソナライズされたインジケーター、「合理的」な取引戦略といった利点が約束されています。信頼を得るために、金融リスクに関する免責事項まで含まれています。しかし、これらのメッセージは本当の意図を覆い隠しています:
- 被害者をマルウェアのダウンロードへ誘導する;
- フィッシングページを使って認証情報を盗む;
- 複数のチャンネルやドメインにまたがって拡散する。
ビジネスアカウントが武器化される仕組み
この事例は、増大するリスクを浮き彫りにしています。企業のGoogleアカウントが侵害されると、連携するYouTubeチャンネルから元のコンテンツがすべて剥ぎ取られ、詐欺やその他の悪意ある活動に転用され得るのです。
侵害が起こる流れは次のとおりです:
- あなた、またはスタッフがフィッシングメール、悪意ある添付ファイル、あるいは認証情報窃取キャンペーンにだまされ、攻撃者がGoogleアカウントへアクセスできるようになる。
- YouTubeはGoogleに紐づいているため、攻撃者がチャンネルを支配できる。
- 元のビジネスの痕跡を消すため、攻撃者が既存の動画、ブランディング、プレイリストを削除する。
- アカウントはTradingViewのような人気ブランドになりすますようリブランディングされる。認証バッジや既存の登録者数が信頼性を与える。
- オーガニックな到達を構築する代わりに、攻撃者はGoogle広告を悪用し、マルウェア混入の限定公開動画をユーザーへ直接配信する。
マルウェア分析
マルウェアを分析した結果、Bitdefenderの研究者は、過去のサンプル(Generic.MSIL.WMITaskとして検出されたものなど)と共通する特徴がある一方で、初期ダウンローダーは検出と解析への耐性を高めるためにカスタム構築されていることを特定しました。
- 巨大なダウンローダー:700MB超で、多くの自動解析プラットフォームでは処理できないほど大きい。
- アンチサンドボックス機能:仮想化環境やサンドボックス環境をチェックし、自動・手動の動的解析を困難にする。
- 多段階感染:これらの防御を回避すると、マルウェアは過去のインフォスティーラー・キャンペーンと整合する手法で処理を進める。
旧サンプルは、さまざまなポート(30303、30308)とルート(/s、/set、/q、/query)で平文HTTPリクエストを用いて「フロントエンド」と通信していましたが、新サンプルはポート30000および/configルートでWebSocketを使用して通信します。
サイバー犯罪者はフロントエンドのスクリプトを変更し、調査しにくくしました。コードはまず難読化され、AES-CBCで暗号化されています。
次に、復号されたService Workerコードも難読化されています。難読化を解除すると、(ユーザーがダウンロードする際に)悪意あるファイルを配布するためにhttps://jimmywarting.github.io/StreamSaver.jsを使用していることが分かります。これは検出を回避し、手動解析をより困難にするために行われている可能性があります。また、悪意ある実行ファイルと通信するための設定も確認できます:
以前のサンプルと同様に、このサンプルはユーザートラッキングにPostHogを使用し、さらにFacebook Pixelトラッキング、Google Adsコンバージョントラッキング、Microsoft Ads Pixel、Adprofexのポストバックも使用しています。明らかにユーザーの同意なしに行われるこれらのトラッキングは、脅威アクターが複数プラットフォームでユーザーを標的化し得ること、また特定のリクエストをブロックしたり、正当な標的と見なさないユーザーには無害なコンテンツを表示したりできることを、はっきり示しています。
installer.exeマルウェア(もう一つの違いは実行ファイルの種類で、旧サンプルは.msiファイルでした)は、WebSocket経由で受け取ったペイロードを用いて、EdgeResourcesInstallerV12-issg という名前のスケジュールタスクを作成します。
これらのスケジュールタスクを通じて、マルウェアはWindows Defenderの除外設定を追加し、Invoke-Expression PowerShellコマンドレットを使って次段階をダウンロードして実行します。悪意ある一連のプロセスは、以下に簡略化した形で示されています。
Bitdefenderは初期ローダーをVariant.DenoSnoop.Marte.1として検出し、中間のPowerShellは複数の検出名で、最終ペイロードはTrojan.Agent.GOSLとして検出します。マルウェア(最終ペイロード)は、Check PointではJSCEAL、WithSecureではWeevilProxyと命名されており、諜報とリモートアクセスの両方の機能を備えた高度なスティーラーです。
主な機能:
- すべてのユーザーネットワークトラフィックの傍受(プロキシとして動作)
- Cookieおよびパスワードデータの収集
- キー入力の記録とスクリーンショット取得
- 暗号資産ウォレットデータの窃取
- 長期的な永続化の確保、など
Bitdefenderがこの悪意ある広告キャンペーンを長期分析した結果、次の点が判明しました:
- この悪意あるインフラに紐づく500超のドメインおよびサブドメイン;
- Windows以外にも攻撃を拡張するために設計された、macOSおよびAndroidのサンプルが出現(Variant.MAC.Amos.9 およびAndroid.Trojan.Dropper.AVV & Android.Trojan.Banker.AVMとして検出);
- 同一キャンペーンを押し出す、複数の乗っ取られた/なりすましたチャンネル/ページ
- 少なくとも数件の盗まれたGoogleアカウントが観測された;
- 数千のFacebookページ(多くは「いいね」が5未満で、汎用的な名前と画像)によって悪意ある広告が配布されている;
- 脅威アクターは、使用ドメインをローテーションし新戦略を用いながら、複数言語(特に英語、ベトナム語、タイ語)で毎日数百件の広告を作成している。
侵害指標(IoC)の最新かつ完全な一覧は、Bitdefender Advanced Threat Intelligenceユーザー向けに こちらで提供されています。
安全を保つ方法(ユーザー向け)
プレミアム取引ツールやソフトウェアへの無料アクセスをうたう広告に遭遇した場合:
- チャンネルのハンドルと登録者数を確認する。
- 限定公開動画には注意する。実在企業が「広告のみ」の限定公開キャンペーンを行うのは一般的ではない。
- 第三者リンクからソフトウェアをダウンロードしない。公式サイトのみを利用する。
- 不審な広告はYouTubeまたはGoogle広告に直接報告する。
- Bitdefenderのセキュリティソリューションを利用し、悪意あるリンクやマルウェアを、端末に被害を与えデータを侵害する前にブロックする。
- リンク、オファー、広告を精査するために、Bitdefender ScamioやBitdefender Link Checkerのような無料の詐欺検知ツールを使う。
アカウント乗っ取りへの防御(コンテンツクリエイター/企業向け)
YouTubeで活動するクリエイターや組織も、これらのキャンペーンの標的です。乗っ取られたアカウントは評判を損なうだけでなく、フォロワーを危険にさらします。今すぐできる対策の簡易チェックリストは次のとおりです:
- オンラインアカウントに強力な多要素認証(MFA)を有効化する。
- バックアップ用メールアドレスと電話番号が有効で安全であることを確認し、アカウント復旧オプションを見直す。
- チャンネルの役割と権限を定期的に監査する。非アクティブな管理者のアクセス権を取り消すことを忘れない。
- ブランディングや動画アップロードの急な変更など、侵害の兆候となり得る不審な活動を監視する。
- YouTube、Facebook、Instagram上のクリエイターアカウントに対して、アカウント乗っ取り保護、フィッシング検知、強化された監視を提供するBitdefender Security for Creatorsのような包括的セキュリティツールを活用する。小規模事業者であれば、Bitdefender Ultimate Small Business Securityもこちらで確認してください。
- 最新情報を把握し、詐欺への警戒を実践する。なりすましや広告悪用キャンペーンは急速に進化するため、継続的な注意喚起が重要です。消費者、コンテンツクリエイター、小規模事業者を狙う詐欺の手口やキャンペーンに関する洞察を得るため、当ブログを引き続きご覧ください。
