Google は、自社の広告プラットフォームを悪用し、脅威行為者が DeerStealer 情報窃取マルウェアをプッシュする偽の Google Authenticator 広告を作成する被害に遭っています。
長年にわたり、悪意のある広告(マルバタイジング)キャンペーンは Google 検索プラットフォームを標的としており、脅威行為者は、訪問者のデバイスにマルウェアをインストールする有名なソフトウェアサイトになりすます広告を掲載しています。
さらに悪いことに、脅威行為者はGoogle検索広告に正規のドメインを表示させることで、広告に信頼感を持たせています。
Malwarebytesが発見した新たな不正広告キャンペーンでは、ユーザーがGoogle検索でソフトウェアを検索すると、Google Authenticatorの広告が表示される広告を脅威アクターが作成しました。
この広告をより説得力のあるものにしているのは、クリックURLとして「google.com」と「https://www.google.com」を表示している点です。サードパーティが広告を作成した場合は、明らかに許可されるべきではありません。
この非常に効果的なURLクローキング戦略は、KeePass、Arc browser、YouTube、Amazonなど、過去の不正広告キャンペーンでも確認されている。それでもGoogleは、このような偽の広告が作成されたことを検知できないでいる。
Malwarebytesは、広告主の身元はGoogleによって確認されており、脅威行為者が悪用する広告プラットフォームのもう1つの弱点を示していると指摘している。
この不正広告キャンペーンについてGoogleに問い合わせたところ、Malwarebytesが報告した偽の広告主をブロックしたと回答した。
脅威行為者はどのようにして合法的な企業になりすました広告を出すことができるのかとの質問に対し、グーグルは、脅威行為者は何千ものアカウントを同時に作成し、テキスト操作やクローキングを使用してレビュアーや自動システムに通常の訪問者が見るのとは異なるウェブサイトを表示することで検知を逃れていると述べた。
しかし同社は、こうした悪質なキャンペーンの検知と削除を支援するため、自動システムと人間のレビュアーの規模を拡大している。こうした取り組みにより、2023年には34億の広告を削除し、57億以上の広告を制限し、560万以上の広告主アカウントを停止することができた。
偽グーグル認証サイト
偽Google Authenticator広告をクリックすると、訪問者は一連のリダイレクトを経て、本物のGoogleポータルを装った「chromeweb-authenticators.com」のランディングページに誘導される。
マルウェア解析のサンドボックス会社ANY.RUNもこのキャンペーンを観測し、このキャンペーンからの追加のランディングページをXで共有している。これらには、authenticcator-descktop[.]com、chromstore-authentictificator[.]com、authentictificator-gogle[.]comのような類似した名前のドメインが含まれる。
偽サイトの「Download Authenticator」ボタンをクリックすると、GitHubにホストされている「Authenticator.exe」[VirusTotal]という署名付きの実行ファイルがダウンロードされます。
マルウェアをホストしているGitHubのリポジトリは「authgg」、リポジトリの所有者は「authe-gogle」と名付けられ、どちらもキャンペーンのテーマに関連した名前に似ている。
Malwarebytesがダウンロードしたサンプルは、ダウンロードの1日前に「Songyuan Meiying Electronic Products Co., Ltd.」によって署名されていますが、ANY.RUNは以前に「Reedcode Ltd.」によって署名されたペイロードを入手しています。
有効な署名は、Windows上でのファイルの信頼性を与え、潜在的にセキュリティソリューションを回避し、警告なしに被害者のデバイス上で実行できるようにします。
ダウンロードが実行されると、DeerStealer 情報窃取マルウェアが起動し、ウェブブラウザに保存されている認証情報、クッキー、その他の情報を盗み出します。
ソフトウェアをダウンロードしようとしているユーザーは、Google検索で宣伝された結果をクリックしないようにするか、広告ブロッカーを使用するか、通常使用するソフトウェア・プロジェクトのURLをブックマークしておくことをお勧めする。
ファイルをダウンロードする前に、今いるURLがプロジェクトの公式ドメインに対応していることを確認してください。また、ダウンロードしたファイルは、実行する前に必ず最新のAVツールでスキャンしてください。
Comments