- Huntressがドラゴンボスソリューションズ社が署名したアドウェアをシンクホール化
- マルウェアはアンチウイルスを無効化し、$10で悪用可能な状態で更新ドメインを開放
- 数万の端末が侵害、大学、OTネットワーク、政府機関、フォーチュン500企業を含む
セキュリティ研究機関Huntressは最近、一見すると単なる退屈で平凡な広告表示型の迷惑ソフトウェアに思えるアドウェアに偶然遭遇しました。しかし、表面下で発見したものは多くの関心を集め、より深い調査が必要でした。
2026年3月下旬、Huntressはドラゴンボスソリューションズ社という企業が署名したソフトウェアについてアラートを受けました。この企業は「検索マネタイズ研究」に従事していると主張していますが(実際には単に望まれない広告とリダイレクトをユーザーに表示しているだけ)、アンチウイルスプログラムを無効化し、再起動を防止する高度な更新メカニズムを備えていました。
マルウェアの仕組みを分析している間に、研究者たちは脅威アクターがメインアップデートドメインもフォールバックドメインも登録していないことを発見しました。これは同時に、大きなリスクと善行を行う大きな機会をもたらしました。
記事はこちら
接続を遮断する
「より懸念すべき点は、その更新構成に直結した開かれた扉があったことです。$10さえあれば誰でも簡単に通ることができるドアです」とHuntressは述べています。言い換えれば、誰かがこれらのドメインを登録し、感染したコンピュータの広大なネットワークを支配することができたということです。
代わりに、Huntressがドメインを購入し、感染したすべてのホストからの接続を効果的にシンクホール化しました。
「数時間以内に」彼らは「数万の侵害された端末が、誤った手に渡ると何でもあり得る指示を求めて接続するのを目撃しました」。
着信IPアドレスを分析したところ、Huntress研究者は高価値施設に324の感染デバイスを発見しました。これには221の学術機関、エネルギーと輸送セクターにおける41のOperational Technologyネットワーク、35の市町村政府・州機関・公共事業、24の初等・中等教育機関、および3つのヘルスケア組織が含まれています。さらに、複数のフォーチュン500企業のネットワークも侵害されていました。
安全を保つために、研究者はシステム管理者に対して、「MbRemoval」または「MbSetup」を含むWMIイベントサブスクリプション、「WMILoad」または「ClockRemoval」を参照するスケジュール済みタスク、およびドラゴンボスソリューションズ社が署名したプロセスを探すことを推奨しています。
そしてもちろんTikTokでTechRadarをフォローしてニュース、レビュー、ビデオ形式でのアンボックスなどを入手し、WhatsAppでも定期的に更新を受け取ることができます。
