TokyoBlackHatNews

malwarebytes.com 4分で読了

VPN を検索すると、仕事のログイン情報を他人に預けることになる可能性

このブログは、「正しいこと」をしようとしたら、まっすぐな罠に陥った経験についてです。VPNを探していた人々は、認証情報を盗むマルウェアをダウンロードしてしまいました。

被害者の観点からすると、検索エンジン、なじみのあるロゴ、デジタル署名、そして「最終的に機能すれば安全だろう」という仮定まで、あらゆるステップで信頼が悪用されました。

あなたが雇用主のネットワークに接続するためのVPNクライアントを探していると想像してください。好きな検索エンジンを使用すると、検索結果の一番上に、正確に探していたものが表示されます。業界で確立された名前に属しているように見えるリストです。適切なロゴ、適切な製品名、そして正当に聞こえる説明があります。

しかし、Microsoft が 説明するケースでは、あなたが見ているのは SEO ポイズニングの影響を受けた検索結果です。検索エンジン最適化(SEO)ポイズニングは、広告を購入したり、正当だが退屈な SEO ベストプラクティスに従ったりせずに、関連する検索結果で高くランク付けされるようにウェブページを取得することに帰着します。その代わりに、サイバー犯罪者は欺瞞的または明らかに違法な手段を使用して、ページをトップに押し上げます。

スプーフィングされた(あるいはクローンされた)VPN ページでは、すべてが見覚えのあるものです。ベンダーのブランディング、製品名、セキュアなリモートアクセスについての簡潔な説明があります。最も重要なのは、目立つダウンロードボタンがあることです。あなたは信頼できるベンダーからのインストーラーを期待してクリックしますが、サイトは静かにあなたを GitHub リリースダウンロードにリダイレクトする代わりに、VPN-CLIENT.zip のような内容のZIPファイルを提供します。

GitHub は、広く信頼されているため、マルウェア作成者のお気に入りの配布チャネルです。このキャンペーンでは、犯罪者は正当な証明書でファイルに署名さえしており、その後失効しています。ダウンロードされた ZIP ファイルには、インストール中に悪意のあるダイナミックリンクライブラリ(DLL)ファイルをサイドロードしながら、被害者を通常のインストール、次へ、次へ、完了ルーチンを通じて行う Microsoft ソフトウェアインストーラー(.msi)ファイルが含まれています。

それらの DLL の 1 つである dwmapi.dll は、ローダーとして機能し、Hyrax 情報盗難ツールの亜種である inspector.dll を実行する埋め込みシェルコードを起動します。インストールが終了した瞬間から、VPN クライアントは単なるクライアントではなく、認証情報泥棒でもあります。

新しい VPN の使用を開始すると、いくつかのことが素早く起こります。

  • 偽の VPN クライアントはあなたのユーザー名、パスワード、およびターゲット URI をキャプチャし、このデータを Hyrax 情報盗難コンポーネントに渡します。
  • Hyrax は既存の VPN 設定データも読み取り、保存されているすべての接続と保存された認証情報をすくい上げます。
  • マルウェアは盗まれた情報すべてを攻撃者が制御するインフラストラクチャに送信します。

ユーザーが見るのは、「接続に失敗しました」や「インストール問題」のような、もっともらしく聞こえるエラーだけです。その上、マルウェアは公式ソースから正当な VPN クライアントをダウンロードするための指示を提供します。場合によっては、ユーザーのブラウザを実際の VPN ウェブサイトに開くことさえあります。もちろん、すべてはこれは疑いを緩和するためです。

残りは雇用主のネットワークで起こります。攻撃者は、彼らが制御するインフラストラクチャから、あなたとして企業 VPN にログインしたり、通常のリモートアクセストラフィックに即座に溶け込むことができます。あなたのアカウントがファイルシェア、内部管理パネル、チケットシステム、またはクラウドサービスへのアクセス権を持っている場合、彼らはこれらのリソースを探索したり乱用したりし始めることができます。

偽の VPN クライアントから身を守る方法

これで何を探すべきかわかったので、すでに一歩先を行っています。安全を保つためのより一般的なヒントを紹介します。

  • 検索結果だけを信頼しないでください。特にセキュリティソフトウェアの場合はそうです。ベンダーのウェブサイトに直接アクセスしてください。
  • ダウンロード前にドメインを二重確認してください。ベンダーのサイトまたは信頼できるプラットフォームにまだいますか?必要に応じて、ダウンロードリンクを IT 部門に確認してください。
  • 「失敗した」VPN インストールを IT に報告してください。再試行を続けないでください。予期しない失敗の後にリダイレクトが続く場合は、警告です。
  • 企業の VPN 認証情報を個人的なパスワードマネージャーやブラウザに保存しないでください。

信頼できないサイトまたは異常なドメインから VPN クライアントをインストールしたことがある場合は、VPN 認証情報が侵害されている可能性があると想定し、リセットをリクエストしてください。

翻訳元: https://www.malwarebytes.com/blog/news/2026/03/how-searching-for-a-vpn-could-mean-handing-over-your-work-login-details

ソース: malwarebytes.com
#DLLサイドローディング #Hyrax #SEOポイズニング #VPN詐欺 #ソフトウェア供給チェーン攻撃 #マルウェア #企業ネットワーク侵害 #情報盗難ツール #検索エンジン悪用 #認証情報盗難

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延