Bing検索から偽広告、NordVPNを装ったマルウェアに注意

Malwarebytesは4月4日(米国時間)、「Bing ad for NordVPN leads to SecTopRAT|Malwarebytes」において、Microsoft Bingの検索広告を悪用したマルバタイジングキャンペーンを発見したと報じた。このサイバー攻撃のキャンペーンでは「NordVPN」に偽装した広告を通じてマルウェアを配布するという。

「NordVPN」に偽装した広告の概要

Malwarebytesが発見した悪意のある広告はMicrosoft Bingから「nord vpn」を検索することで表示されたとのこと。この広告のリンク先アドレスは「nordivpn[.]xyz」となっており、正規サイトのURLと異なることが一見してわかる。

偽のNordVPN広告 引用:Malwarebytes

この広告をクリックすると、正規のWebサイト「nordvpn[.]com」とは異なる「besthord-vpn[.]com」へリダイレクトされる。この偽のWebサイトは正規サイトに似た外観だが、正規サイトにはないダウンロードボタンが用意されている。ダウンロードボタンをクリックすると、Dropboxから悪意のあるインストールファイルをダウンロードすることになる。

国内最大級の品揃え【DMMブックス】ロリポップ!
どんなソフトを使ったら良いか分からないアナタに!ソフトナビ

マルウェア「SecTopRAT」

ダウンロードしたインストールファイルには「nordvpn s.a.」のデジタル署名が存在するが、無効とされる。また、このファイルにはNordVPNのインストーラーとマルウェアの両方が含まれており、インストールを開始するとおとりとしてNordVPNのインストールが開始される。同時に、バックグラウンドにてマルウェアをMSBuild.exeに注入して実行する。

実行されるマルウェアは多数の機能を備えた「SecTopRAT(別名:ArechClient2)」とされる。このマルウェアはシステム情報、ブラウザの認証情報、ウォレット関連情報などを窃取する機能や、攻撃者のコマンド&コントロール(C2: Command and Control)サーバーに接続してリモートデスクトップを実行する機能を持つとされる。

対策

マルバタイジングは偽の広告からマルウェアをインストールさせる簡単かつ有効な手法とみられ、脅威アクターに繰り返し利用されている。このような攻撃を回避するため、検索サイトの利用時には広告のURLを確認してからアクセスすることが推奨されている。また、ファイルをダウンロードする場合はアクセスしているWebサイトが公式サイトか必ず確認し、それからダウンロードすることが推奨されている。

なお、今回発見された悪意のあるインストールファイルはすでにDropboxにより対処されており、ダウンロードすることはできない。また、Malwarebytesは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。

情報元
https://news.mynavi.jp/techplus/article/20240407-2921778/