Malwarebytesは12月15日(米国時間)、「PikaBot distributed via malicious search ads|Malwarebytes」において、リモートデスクトップアプリケーション「AnyDesk」のユーザーを標的としたマルウェア「PikaBot」を配布するマルバタイジングキャンペーンを発見したと報じた。

  • PikaBot distributed via malicious search ads|Malwarebytes

    PikaBot distributed via malicious search ads|Malwarebytes

マルバタイジングキャンペーンの流れ

PikaBotは2023年2月にUnit42によって特定されたマルウェアで、このときは「Matanbuchus」と呼ばれるマルウェアのペイロードとして配布されたとみられている。2023年8月に確認されたキャンペーンでは、フィッシングメールから悪意のあるWebサイトへ誘導し、zipアーカイブをダウンロードさせる手法で配布された。

今回確認されたキャンペーンでは、Google検索からAnyDeskを検索することで表示される偽の広告を使ったマルバタイジング攻撃が使用された。この偽の広告をクリックすると、「anadesky[.]ovmv[.]net」というAnyDeskの公式サイトに似た偽のWebサイトへ誘導される。そして、このWebサイトからインストーラをダウンロードすると、PikaBotを含む悪意のあるインストーラをダウンロードすることになる。

  • AnyDeskを検索すると表示される偽の広告と広告主の情報 - 提供:Malwarebytes

    AnyDeskを検索すると表示される偽の広告と広告主の情報  引用:Malwarebytes

マルバタイジングキャンペーンの回避策

Malwarebytesは今回のマルバタイジング攻撃で使用されたセキュリティソリューションの回避方法が、ほかのマルバタイジング攻撃でも使用されていたことを発見している。また、それら攻撃においてマルウェアローダ「FakeBat」をダウンロードする事案を確認している。これは、複数の脅威アクターがマルウェア配布の仕組みを共有している可能性を示しており、Googleの広告やおとりのWebページが「マルバタイジング・アズ・ア・サービス(MaaS: Malvertising-as-a-Service)」のようなサービスで提供されている可能性を示唆している。

アプリケーションをダウンロードするときは、このような攻撃を回避するために検索結果に注意する必要がある。また、ダウンロードは公式サイトから行うようにし、アクセスしているWebサイトが本当に公式サイトかどうか、アドレスのドメインを確認してからダウンロードすることが推奨されている。

Malwarebytesは今回の調査で判明したセキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。