Malwarebytesは11月8日(米国時間)、「Malvertiser copies PC news site to deliver infostealer|Malwarebytes」において、マルウェアを配布する新しいマルバタイジングキャンペーンを発見したと報じた。本件に関する詳細は、すでにGoogleへ報告したとしている。

  • Malvertiser copies PC news site to deliver infostealer|Malwarebytes

    Malvertiser copies PC news site to deliver infostealer|Malwarebytes

Malwarebytesによると、このキャンペーンでは有名なハードウェア情報収集ツール「CPU-Z」のユーザが標的であったとされる。GoogleでCPU-Zを検索するとCPU-Zの偽の広告が表示され、正規のWindowsニュースポータル「WindowsReport.com」を複製した偽のWebサイトへ誘導されたとしている。そしてこの偽のWebサイトからCPU-Zの悪意のあるインストーラが配布されたという。

  • CPU-Zを装う偽のGoogleの広告 - 提供:Malwarebytes

    CPU-Zを装う偽のGoogleの広告 - 提供:Malwarebytes

この悪意のある広告ではクローキング(アクセスしたユーザー、ボットなどにより応答を変更する仕組み)が行われており、ボットなどの標的ではないアクセスの場合は悪意のないブログが表示されたとしている。これは、Notepad++、Citrix、VNC Viewerなどの他のマルバタイジングキャンペーンでもみられるとして、今回のキャンペーンもこの一部の可能性があるとしている。

Malwarebytesの分析によると、配布された悪意のあるCPU-Zのインストーラにはマルウェアローダ「FakeBat」が含まれており、インストールするとコマンド&コントロール(C2: Command and Control)サーバからマルウェア「RedLine Stealer」をダウンロード、インストールするという。RedLine Stealerはマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)で販売されているマルウェアで、資格情報や暗号資産ウォレットなどさまざまな情報を窃取する機能があるとされる。

Malwarebytesは、公式サイトからではなくポータルサイトからユーティリティソフトウェアをダウンロードするユーザーが多いため、このような攻撃が行われているとして注意を促している。通常はこのような攻撃を避けるため、ベンダの公式サイトからダウンロードすることが推奨されている。Malwarebytesは本件に関するセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。