2025年10月以降、SEO汚染キャンペーンが25以上の人気アプリケーションになりすまし、AsyncRAT遠隔アクセストロージャンを配信しています。継続中のSEO汚染キャンペーンは検索結果を悪用して、ユーザーを25以上の人気アプリケーションのトロージャン化されたインストーラのダウンロードに騙し、最終的にAsyncRAT遠隔アクセストロージャンを配信しています。
少なくとも2025年10月から活動している本作戦は、偽造ダウンロードポータル、兵器化されたインストーラ、トークン化された配信URLを組み合わせて、URLベースのブロッキングと従来のWebフィルタリングの先を行っています。
より詳しい分析により、少なくとも5ヶ月間静かに動作し、合法的なフリーソフトウェアを探しているユーザーを標的にしている単一の多段階キャンペーンが明らかになりました。
本作戦の背後にある脅威アクターは特定されていませんが、明確な運用成熟度を示しており、時間をかけてインフラと配信技術を定期的に改善しています。
FOX-ITとNCC Groupの調査官は、複数のクライアント環境全体でScreenConnect関連のアラート急増の後、2026年3月に活動を発見しました。これは最初は関連性がないように見えました。詳細情報
攻撃者はSEO汚染に依存して、被害者がVLC Media Playerなどのツール、OBS Studio、KMS Tools、CrosshairX、LibreOffice、および複数のユーティリティとゲームを検索したときに、自分のおとり用サイトが目立つようにランク付けされていることを確認します。
これらのサイトは本物のソフトウェアポータルを模倣し、通常、合法的なインストーラと悪意のあるコンポーネントをバンドルしており、ダウンロードが期待どおりに機能しているように見えるとユーザーの疑いが軽減されます。
検索結果からAsyncRATへ
ユーザーが「VLC ダウンロード」などの有名アプリケーションを検索して、公式ベンダーサイトの代わりにvlc-media[.]comなどのドメインにつながる汚染された結果をクリックすると、攻撃チェーンが開始されます。
ダウンロードボタンを押すと、fileget[.]loseyourip[.]comのようなバックエンドホストからZIPアーカイブが静かに取得されます。このアーカイブには、実際のインストーラに加えて、悪意のあるlibvlc.dllを含む追加のDLLとプラグインが含まれています。
ユーザーがバンドルされた実行ファイルを起動すると、Windowsが不正なDLLをサイドロードします。その後、DLLは隠されたMSIインストーラを抽出して実行します。同時にVLCは正常に起動してアラームが発生するのを避けます。
MSIは合法的なリモート管理製品であるScreenConnectを配置しますが、攻撃者によるアクセス不可に事前設定されており、システムメタデータではMicrosoft Visual C++再頒布可能物として偽装されて、インストール済みプログラムに混在します。
このScreenConnectの足がかりを使用して、オペレーターはVBScriptとPowerShellツールをプッシュして、AsyncRATペイロードを合法的なWindowsプロセスにドロップして注入し、永続的なリモートアクセスを確立します。
このキャンペーンで使用されるAsyncRATビルドは標準的なものではありません。暗号通貨クリッパー、実行時に新しい機能をロードするための動的プラグインフレームワーク、中東、北アフリカ、中央アジアの被害者を避けるための地理的フェンシングロジックが含まれています。
hone32[.]work[.]gd、mora1987[.]work[.]gdを含む複数のAsyncRATコマンドアンドコントロールエンドポイント、および多数のIPベースのサーバが、インフラにリンクされていました。
おとり用ドメインの分析により、複数のロケール向けのhreflangタグ、検索スニペットで結果をより信頼できるものにするための偽のSchema.org評価、インフラを区分化するための個別の分析と確認IDを含む、広範なSEOチューニングが明らかになりました。
studio-obs[.]netやkms-tools[.]comなどのサイトには、Bingおよび Yandex確認トークンと、名前で中国語を話すユーザーを引き付けるための中国語キーワードも含まれていました。
共有カスタムJavaScriptコンポーネントであるdownload-link.jsは、ベース配信URLとランダムトークン長を定義する構成ファイル(link-downloads.txt)をロードすることで、ペイロード配信を調整します。
ペイロードURLをページのHTMLにハードコードする代わりに、各おとり用ページは、サイトからダウンロードが開始されるときにlink-downloads.txtという平文設定ファイルをロードします。
被害者がダウンロードをクリックすると、スクリプトは一意の英数字トークンを生成し、fileget[.]loseyourip[.]com上のベースURLに追加してブラウザをリダイレクトします。これにより、すべてのペイロードリンクが一意であり、個別にブロックするのが困難になります。
以前のインフラは同じような名前のドメイン上でホストされている静的な/uploads/filename.zipパスに依存していましたが、2026年1月後半までに、オペレーターはトークンベースの配信に完全にシフトしており、URLレベルの検出を大幅に複雑にしています。
緩和策
防御者は予期しないScreenConnectインストールと、sc-0af00d55fb53c6e6://などの新しいカスタムURLハンドラーを、侵害の潜在的な初期兆候として扱う必要があります。
キャンペーンの進行中の性質と柔軟なAsyncRATプラグインシステムを考えると、確認された感染は、認証情報のリセット、必要に応じたホストの再イメージング化、影響を受けるシステムのクリプト取引とブラウザアクティビティの詳細なレビューを含む、完全なインシデント対応サイクルをトリガーする必要があります。
ネットワーク監視は、既知のおとり用ドメイン(例:vlc-media[.]com、studio-obs[.]net、kms-tools[.]com、crosshairx[.]pro)と配信バックエンドfileget[.]loseyourip[.]comへのアクセス、および特定されたAsyncRAT C2ホストでアラート発生させる必要があります。
エンドポイント上では、アプリケーションディレクトリからの疑わしいDLLサイドロードと、ユーザー一時パスでのmsiexecを介した署名されていないMSI実行は、即座に調査が必要です。
初期のおとり用は、ソフトウェアの脆弱性よりもむしろ検索結果に対するユーザーの信頼を悪用しているため、ユーザー教育は不可欠です。ユーザーにダウンロードドメインを公式ベンダーURLと照合することを指示し、「通常の」ソフトウェアインストール中の予期しない昇格プロンプトを慎重に扱うようにしてください。
翻訳元: https://gbhackers.com/seo-poisoning-campaign/
