Cisco Systemsの脅威インテリジェンスチームであるCisco Talosはこのほど、公式ブログ「Magnat campaigns use malvertising to deliver information stealer, backdoor and malicious Chrome extension」において、人気アプリの偽のインストーラを用いてユーザーのシステム上でマルウェアを実行させようとする新たなサイバー攻撃活動について伝えた。このマルウェア配布キャンペーンによって、ユーザーは情報スティーラーやバックドア、悪意のあるChrome拡張機能などをインストールさせられる危険性があるという。

Talosのレポートによると、このキャンペーンは人気アプリの広告を装ったマルバタイジング(マルウェアの拡散を目的とした悪質なオンライン広告)が起点になっている可能性が高いという。インターネットで人気のアプリを検索したユーザーがこれらのマルバタイジングにだまされて偽のインストーラを実行すると、希望していたアプリの代わりに悪意のあるマルウェアインストールされてしまう。今回発見されたキャンペーンでは、次の3種類のマルウェアが実行されることを確認しているという。

  • システムで利用可能なすべての資格情報を収集するパスワードスティーラー
  • SSHトンネルを使ったRDP(リモートデスクトッププロトコル)のポート転送によって、Microsoftリモートデスクトップセッションを介して遠隔操作を可能にするバックドア
  • キーロガーやスクリーンショットの撮影などが可能な悪意のあるChrome拡張機能
  • Magnatによるマルウェア配布キャンペーンの流れ

    Magnatによるマルウェア配布キャンペーンの流れ

「Magnat」と呼ばれる脅威アクターがこれらのマルウェアファミリーの作者である可能性が高く、その活動の目的は、盗んだ資格情報の販売や不正なトランザクション操作、システムへのリモートアクセスなどがら得られる金銭的な利益と考えられている。

Talosによるレポートには、Magnatによる一連のキャンペーンや、配布されている上記3つのマルウェアに関するさらに詳細な分析結果が掲載されている。