- 中国のユーザーが、偽のダウンロードサイトやSEOポイズニングを利用したマルウェアキャンペーンの標的となっている
- kkRATは、クリップボードの乗っ取り、リモート監視、アンチウイルス回避などの高度な機能を備えている
- 攻撃者はGitHub Pagesを悪用してフィッシングサイトをホストした
人気のブラウザやコミュニケーションソフトをダウンロードしようとする中国のユーザーが、攻撃者にリモートアクセス権限を与えてしまう様々なマルウェアの亜種の標的となっている。これは、Fortinet FortiGuard LabsやZscaler ThreatLabzなど複数のサイバーセキュリティ機関によるものだ。
前者は、2種類のリモートアクセス型トロイの木馬(RAT)―HiddenGh0stとWinos(いずれも悪名高いGh0st RATの亜種)―を配布するSEOポイズニングキャンペーンを発見した。
このキャンペーンでは、攻撃者がDeepL翻訳、Google Chrome、Signal、Telegram、WhatsApp、WPS Officeなどのプログラムの偽ダウンロードページを、タイプミスを利用したドメインで作成した。
暗号資産の窃取とアンチウイルスの無効化
その後、さまざまなSEOプラグインを使って検索順位を操作し、これらのプログラムを探している人々を誤ったサイトへ誘導した。ダウンロードすると一見目的のプログラムがインストールされるが、インストーラーはトロイ化されており、上記のトロイの木馬のいずれかも同時に仕込まれる。
同時に、Zscalerの研究者はkkRATと呼ばれるこれまで知られていなかったトロイの木馬が拡散されていることを観測した。このキャンペーンは今年5月に始まり、WinosやFatalRATも含まれている。
kkRATのコードはGh0st RATやBig Bad Wolfと類似しているとZscalerは説明している。「kkRATはGh0st RATと似たネットワーク通信プロトコルを採用し、データ圧縮後に暗号化レイヤーを追加しています。このRATの機能には、暗号通貨アドレスを置き換えるクリップボード操作や、リモート監視ツール(Sunlogin、GotoHTTPなど)の展開が含まれます。」
また、悪意のある活動を行う前に、その存在を隠すためにアンチウイルスソフトを停止させることも可能だ。トロイの木馬が標的とするAVソリューションには、360 Internet Security suite、360 Total Security、HeroBravo System Diagnostics suiteなどが含まれる。
Fortinetの発見とは異なり、このキャンペーンではフィッシングサイトがGitHub Pages上にホストされており、コミュニティからの信頼を利用してトロイの木馬を配布している。このキャンペーンで使用されたGitHubアカウントはすでに停止されている。
