Azure

巧妙な偽情報キャンペーンは、複数のMicrosoft AzureおよびOVHのクラウドサブドメインとGoogle検索に関与し、マルウェアやスパムサイトを宣伝する。

Androidユーザーは、以前検索したことのあるテーマについて、”new info related to… “というGoogle検索通知を受け取る。しかし、その後、誤解を招く検索結果が表示され、インフォテイメント記事を装った詐欺サイトへのトラフィックが誘導される。

汚染された検索結果がモバイル通知を引き起こす

大嘘をつき、それを繰り返し続ければ、人はやがてそれを信じるようになる」という名言の背後に誰がいるのかは誰にもわからないが、最近出現した偽情報キャンペーンに拍車をかけているようだ。

今週初め、私はアンドロイド携帯のグーグル検索通知で、「ハリー・コニック・ジュニアに関連する新情報」という言葉に出くわした。

Harry Connick Jr "stroke" Google search mobile notification
ハリー・コニックJr “脳卒中 “のGoogle検索モバイル通知
()

通知をクリックすると、一度だけでなく、複数のウェブサイトが同じメッセージを繰り返していた:「ハリー・コニックJr.の脳卒中の真相を探る:回復と回復の旅”。

そもそもグーグルがこの「関連新着情報」通知を出した理由とは?Googleの検索結果は、Microsoft Azure blob storageやOVHのようなクラウドサービスでホストされている数十のドメインによって汚染されており、これらのドメインがこの偽情報を広めている。

Several Azure and OVH-hosted sites spreading disinformation
偽情報を広めているAzureやOVHでホスティングされた複数のサイト ()

グーグルは、ある公人に関連する「新しい情報」を公表しているこのようなウェブサイトを複数検出すると、アルゴリズムがそれをそのように扱い、以前にその人物を調べたことのあるユーザーに通知する可能性がある。

皮肉なことに、これらの記事の多くは、その有名人の健康に関連する「噂」を論じており、他の信頼できるニュースソースがハリー・コニック・ジュニアについてそのような主張をしているようには見えないため、その噂そのものを広めている。

ハリー・コニックJr.の代理人に連絡を取り、この偽情報キャンペーンについて知ってもらおうとした。

さらに、このキャンペーンは1人の人物に限ったものではなく、ビル・パクストン、キャロル・バーネット、エミネム、トム・ハーディ、ランディ・トラヴィス、シンドバッド、キム・ポーター、ミーガン・フォックスなど、複数の公人を標的にしていることがわかりました。

マルウェアやスパムに誘導するサイト

これらの根拠のない記事は、名前を挙げられた有名人が最近「脳卒中」を起こしたと主張するか、名前を挙げられた人物がそのような健康状態に苦しんでいることについて「公式な」確認はないと結論付けている。

これらの記事が広告ブロッカーをオンにして閲覧された場合の話だ。

そうでない場合、これらのウェブページの唯一の目的は、訪問者を一連の輪をくぐり抜け、最終的にマルウェア、スパム、偽造ソフトウェアを押し付けるオンライン・プロパティにリダイレクトすることである。

例えば、マイクロソフトの*.blob.core.windows.netで ホストされている以下のアドレスのリンクは、次のようなものだ。

hxxps://celebradar.blob.core.windows[.]net/celebnetwork15/harry-connick-junior-stroke.html

が、「Eclipse Ad Blocker」というChrome拡張機能をインストールするようユーザーに求める、怪しげなvideoadblocker[.]proドメインにリダイレクトしているのが確認された:

Domains pushing dubious Chrome extensions
怪しげなChrome拡張機能をプッシュするドメイン ()

他のドメインでも同様の広告が表示され、偽の “Norton “や “McAfee “のウイルス検出アラートをプッシュするものもあった。

Norton
偽の「ノートン」ウイルス検出アラート()
Fake "Adobe Flash Player" ad
これらのドメインがプッシュする偽「Adobe Flash Player」広告
()

これらのドメインの多くには、hxxps://moremashup[.]com/js/ads.jsのような広告配信スクリプトが埋め込まれていることが確認された。

これらの中には、さらに一歩進んで、例えばhxxps://satisfactorymetalrub[.]com/8438b16ee31e72c66f3abda855a57488/invoke.jsのような難読化されたワンライナー・スクリプトをページに注入するものもあります。

Injected obfuscated one-liner script
埋め込みスクリプトによって注入された難読化されたワンライナーJavaScript()

によって特定されたこの偽情報キャンペーンに関連するURLの一部を以下に示す:

hxxps:///cancerresearch.blob.core.windows[.]net/breakthrough/carol-burnett-stroke.html hxxps://celebradar.blob.core.windows[.]net/celebnetwork2/bill-paxton-wife-louise-newbury-death.hxxps://applebulletin.blob.core.windows[.]net/bergenews5/is-randy-travis-dead.html hxxps://celebradar.blob.core.windows[.]net/celebnetwork15/tarrare-death-cause.hxxps://newscentralstation.blob.core.windows[.]net/channel10/steve-harvey-accident.html hxxps://celebradar.blob.core.windows[.]net/celebnetwork13/who is-tom-hardy-married-to.hxxps://celebradar.blob.core.windows[.]net/celebnetwork15/mikayla-campinos-leakd.html hxxps://celebradar.blob.core.windows[.]net/celebnetwork5/sinbads-children.hxxps://celebradar.blob.core.windows[.]net/celebnetwork12/was-kim-porter-mixed.html hxxps://celebradar.blob.core.windows[.]net/celebnetwork12/donnie-and-jenny-divorce-2024.hxxps://sopnews.blob.core.windows[.]net/jazz8/michael-c-hall-height.html hxxps://celebradar.blob.core.windows[.]net/celebnetwork13/did-chris-change-his-name.html hxxps://flashnews2.s3.uk.io.cloud.ovh[.]net/harry-connick-jr-stroke.html hxxps://ashghali[.]com/automotive8/did-harry-connick-jr-have-a-stroke.html hxxps://globalinternationalnews.hxxps://globalinternationalnews.blob.core.windows[.]net/globalinternationalnews3/harry-connick-jr-stroke.html hxxps://interestnews.blob.core.windows[.]net/topictribune3/harry-connick-jr-stroke.html

特に、信頼できる情報源によって言及されていない公人や団体について、検証されていない大胆な主張が含まれているような場合は、読者は上記のURL構造を指す検索結果にアクセスしないようにすべきである。