eSecurity Planetは1月26日(米国時間)「Threat Groups Distributing Malware via Google Ads|eSecurityPlanet」において、Google Ads経由でマルウェアを配布する脅威グループの存在について伝えた。ソフトウェアの入手にGoogleを利用するユーザーが狙われ、マルウェアを配布するためにGoogle Adsが積極的に悪用されていることが明らかとなった。

ランサムウェアグループとして知られている「DEV-0569」がGoogle Adsを悪用し、「Gozi/Ursnif」「RedLine」「Royal」といったランサムウェアを配布していることがわかった。「TA505」と呼ばれているサイバー犯罪者グループも同様の手口を使い、キャンペーンを展開しているという。

新たにソフトウェアを導入する際、ダウンロードにGoogleを利用することがある。 Googleの検索結果には公式サイトなどのリンクの他にGoogle Adsによる広告サイトのリンクも表示されるが、脅威グループがこのGoogle Adsを悪用し、検索結果の上位に悪意のあるWebサイトを表示させ、ユーザーを偽の公式サイトに誘導していることがわかった。悪意のあるサイトへリダイレクトされる複数の侵害されたドメインが検索結果に表示されることが判明している。

LibreOfficeもこの攻撃手法に使われていることがわかった。GoogleでLibreOfficeを検索すると、悪意のあるドメインにリンクする広告が2つ表示され、正規のリストよりも上位に表示されることが確認されている。Googleはこの問題を認識しており、悪意のある広告を削除していると表明している。

eSecurity Planetはユーザーに対しGoogle経由で何らかのソフトウェアを入手する場合、検索上位に表示されるリンクであっても公式Webサイトかどうか疑うよう助言している。報告されている脅威から見を守るため、ダウンロードする前に検索したソフトウェアまた製品の正規のURLかどうかを入念にチェックすることが重要とされている。