大規模な不正広告キャンペーンにより、偽のCAPTCHA認証ページを通じて、情報窃取マルウェア「Lumma Stealer」が配布され、ボットでないことを確認するためのPowerShellコマンドの実行がユーザーに促されました。
このキャンペーンは、Monetag広告ネットワークを活用し、3,000のウェブサイトで毎日100万回以上の広告インプレッションを配信しました。
Guardio LabsとInfobloxの研究者によって “DeceptionAds “と名付けられたこの悪質な作戦は、”Vane Viper “として知られる脅威行為者によって行われたと考えられている。
クリックフィックスの手口を進化させる
DeceptionAdsは、被害者を騙して悪意のあるPowerShellコマンドをマシン上で実行させ、マルウェアに感染させる「ClickFix」攻撃の、より新しく危険な亜種と見ることができる。
ClickFix攻撃者は、フィッシングメール、海賊版ソフトウェアサイトの偽のCAPTCHAページ、悪意のあるFacebookページ、さらにはユーザーを危険なランディングページにリダイレクトするGitHubの問題などを利用してきました。
GuardioLabsが発見したのは、合法的な広告ネットワーク上の大規模な広告を利用し、何気なくウェブを閲覧している無防備なユーザーを偽のCAPTCHAページに直接誘導するという、これまでの作戦とは異なるものです。
具体的には、脅威行為者はMonetag広告ネットワークを利用して、偽のオファーやダウンロード、サービスを宣伝するポップアップ広告を配信し、一般的に海賊版ストリーミングやソフトウェアプラットフォームなど、ホストサイトの利用者にアピールします。

Source:GuardioLabs
被害者が広告をクリックすると、難読化されたコードが実際の人物かどうかをチェックし、認証された場合はBeMobクローキング・サービスを通じて偽のCAPTCHAページにリダイレクトする。
BeMobは広告のパフォーマンス追跡のような合法的な目的で使用されるが、「Deception Ads」では回避のためだけに使用される。
「偽のキャプチャページではなく、良性のBeMob URLをMonetagの広告管理システムに供給することで、攻撃者はBeMobの評判を利用し、Monetagのコンテンツモデレーション作業を複雑にしていた」とGuardio Labsの責任者であるNati Tal氏は説明する。
.jpg)
ガーディオ・ラボ
CAPTCHAページにはJavaScriptのスニペットが含まれており、ユーザーが気づかないうちに、悪意のあるPowerShellの1行コマンドをユーザーのクリップボードに無言でコピーする。
次に、このページは被害者に対して、「CAPTCHAソリューション」をWindowsの「ファイル名を指定して実行」ダイアログに貼り付けて実行する方法を指示します。このステップでPowerShellコマンドが実行され、リモートサーバーからLumma Stealerがダウンロードされ、被害者のデバイス上で実行される。

ソースはこちら:GuardioLabs
Lumma Stealerは高度な情報窃取マルウェアで、Google Chrome、Microsoft Edge、Mozilla Firefox、その他のChromiumブラウザからCookie、認証情報、パスワード、クレジットカード、閲覧履歴を盗み出します。
このマルウェアは暗号通貨ウォレット、秘密鍵、機密情報を含む可能性の高いテキストファイル(seed.txt、pass.txt、ledger.txt、trezor.txt、metamask.txt、bitcoin.txt、words、wallet.txt、*.txt、*.pdfなど)も盗み出します。
このデータはアーカイブに集められ、攻撃者に送り返され、さらなる攻撃に利用されたり、サイバー犯罪のマーケットプレイスで販売されたりする。
GuardioLabsは、MonetagとBeMobの両方に大規模な不正使用を報告した。Monetagは8日間で200のアカウントを削除し、BeMobは4日間でキャンペーンを停止させた。
これによって悪質なキャンペーンは事実上中断されましたが、GuardioLabsは12月11日に復活を確認し、脅威行為者が別の広告ネットワークを通じてキャンペーンを再開しようとしたことを示しています。

出典:GuardioLabs:GuardioLabs
Infostealerキャンペーンは、この1年で世界的に大規模な活動となっており、ユーザーや組織に壊滅的な打撃を与え、金銭詐欺、プライバシーリスク、データ漏洩、本格的なランサムウェア攻撃につながる可能性があります。
5月には、Ticketmaster、AT&T、Advance Auto Partsを含む多くの企業に影響を与えた大規模なSnowFlakeアカウント侵害を行うために、脅威行為者が情報窃盗犯によって盗まれた認証情報を使用しました。
インフォステアラーに感染しないためには、ウェブサイト、特に修正やキャプチャを装ったコマンドを絶対に実行しないこと。
また、海賊版ソフトウェアや違法ストリーミング・サイトを使用すると、このような感染の可能性が高まります。なぜなら、これらのサイトを提供する広告ネットワークはポリシーが緩く、サイトの所有者は、信頼性の評判を高めることよりも、一時的にスペースやトラフィックを収益化することに関心があるからです。
Comments