ESETはこのほど、「These aren’t the apps you’re looking for: fake installers targeting Southeast and East Asia|WeLiveSecurity」において、トロイの木馬化したインストーラをダウンロードさせてマルウェアを配信するキャンペーンが展開されていると伝えた。この攻撃は、東南アジアおよび東アジアをターゲットに、Googleの検索結果に表示される広告にリンクした悪意のあるWebサイトを通じて行われるという。
攻撃者がGoogle Adsサービスを悪用し、悪意のあるWebサイトを配置していることがESETに観測された。そのWebサイトのほとんどは中国語で書かれており、Google ChromeやWhatsApp、LINEなど有名なアプリケーションのインストーラが配置され、中にはTelegramなど中国では入手できないソフトウェアも置かれていたことが判明している。
このキャンペーンは2022年8月から2023年1月にかけて展開され、インストーラには被害者のコンピュータに侵入して制御を可能にするFatalRATと呼ばれている遠隔操作ウイルス(RAT: Remote Administration Tool)型マルウェアが挿入されていたことがわかっている。FatalRATには、さまざまなブラウザのデータを操作するためのコマンドが含まれているという。
このキャンペーンの被害者は主に東南アジアおよび東アジアで観察されており、ほとんどは台湾、中国、香港のユーザーとされている。その他にもマレーシア、日本、フィリピン、タイ、シンガポール、インドネシア、ミャンマーなどでも少数の被害者が出たことが確認されている。
ESETはこのキャンペーンで使用されたマルウェアやネットワークインフラが、既知のサイバー犯罪者グループの活動と一致しないため、未知の攻撃者によるものと分析。インストーラをダウンロードする際にアクセスしているURLを注意深く確認することや正規ベンダーのWebサイトであることを確認するなど、セキュリティ対策を実施することが推奨されている。