サイバーセキュリティ組織SEAL(セキュリティアライアンス)は、脅威行為者がGoogle広告を武器化して暗号資産ユーザーを標的にし、高度なフィッシングインフラストラクチャを展開してシードフレーズを盗み、悪意のあるドレーナーソフトウェアを通じてウォレットを枯渇させる継続的かつエスカレートしているキャンペーンについて、重大な警告を発表しました。
2026年3月、SEALはDeFiアプリケーション、ウォレット、およびその他の暗号資産サービスを標的とした悪意のあるGoogle広告アクティビティの大幅な急増を観察しました。
わずか3週間の間に、アナリストは356の悪意のある広告URLをブロックすることに成功しました。この数字は1年以上にわたって維持されている一定の週単位のボリュームを反映しており、キャンペーンはまだ成長中で、影響を受けたユーザーからのレポートが増え続けています。
Googleはその後、SEALのレポートで特定されたすべての広告主アカウントを停止しました。
このキャンペーンの背後にある脅威行為者は高度なレベルで活動しており、2つの主要なアクセスベクトルを悪用しています。ハッキングされた広告主アカウントと犯罪マーケットプレイスから購入した検証済みアカウントです。
新しい疑わしいドメインを登録する代わりに、攻撃者はsites.google.com、docs.google.com、business.google.comなどのGoogle所有の高評判URLを主要な表示フレームとして悪用しています。
Google検索がこれらのURLを正当なタイトル、説明、およびロゴでレンダリングするため、広告は無防備なユーザーには完全に本物に見えます。
主要な回避技術はクローキングとフィンガープリントです。
3つのコンポーネントペイロードアーキテクチャは、攻撃サーフェスを複数のホスト間で分離します。Arweaveの永続的な分散ストレージ(irys.xyz)でホストされた薄いエントリドキュメント、Cloudflare Workersインスタンス(workers.dev)から配信されるフルクローンフロントエンドアプリケーション、および合計2.7MBの難読化された悪意のあるスクリプトです。
重要なことに、Googleの自動広告レビューシステムは無害なプライマリフレームのみを検査する場合があります。実際の攻撃ペイロードは、自動スキャナに見えない入れ子になったiframeで独立してロードされます。
トラフィック配信システム(TDS)は、ターゲットでないユーザー(間違った地域、間違ったOSにいる、または開発者ツールを使用している)を無害なWikipediaページにリダイレクトし、攻撃を研究者から効果的に保護します。
技術的に最も懸念される要素は、クローンされたインターフェースに埋め込まれた中間者プロキシレイヤーです。
2つの設定スクリプトapi-config.jsとconfig.jsは、window. fetchとXMLHttpRequestの両方をモンキーパッチし、すべてのネットワーク呼び出しを攻撃者のバックエンドドメイン(thirdtemple.top)を通じて静かにリルーティングします。
つまり、eth_sendTransactionやeth_signTypedDataを含むすべてのEthereum RPC呼び出しが、実際のノードに到達する前に攻撃者制御のサーバを通過し、オペレーターにウォレットアドレス、残高、およびトランザクションデータへの完全なリアルタイム可視性を与えます。
Uniswap GraphQLエンドポイントも同様にプロキシされており、攻撃者はアクティブなトークンポジションを監視し、個々の被害者のウォレット残高に基づいてターゲット化されたペイロードを注入することができます。
SEALはこれらのキャンペーンを通じて展開された3つの主要なペイロードカテゴリを追跡しています。
最初のものは、ユーザーを騙して悪意のあるトランザクションに署名させるブラウザ内JavaScriptの暗号ドレーナーを含み、ウォレットの制御を効果的に攻撃者に転送します。
InfernoDrainerとVanillaDrainerは、最も観察された2つのファミリーであり、どちらも組み込みの難読化、トランザクション署名生成、および自動デプロイインフラストラクチャと引き換えに、盗まれたすべての収益の20%をオペレーターに課金するドレーナーアズアサービス(DaaS)プラットフォームとして機能しています。
2番目のペイロードカテゴリは、シードフレーズスティーラーを持つハードウェアウォレットユーザーを標的にしており、セキュリティアライアンスクローンインターフェースはLedgerなどのプラットフォーム用で、被害者にウォレット回復フレーズを詐欺的なサイトに直接入力するよう促します。
3番目のカテゴリは、Chrome Webストアダイレクトリンク経由で配布される悪意のあるブラウザ拡張機能を含み、バックグラウンドでリカバリフレーズを静かにキャプチャします。
翻訳元: https://cyberpress.org/fake-ads-drain-wallets/
