Kaspersky Labは3月13日(現地時間)、「Infected text editors load backdoor into macOS|Securelist」において、テキストエディター「Notepad--」に偽装したマルウェアを配布するサイバー攻撃のキャンペーンを発見したとして、注意を喚起した。

  • Infected text editors load backdoor into macOS|Securelist

「Notepad--」に偽装するマルウェアの正体

Notepad--」は「Notepad++」を超えることを目標に開発されているテキストエディター。主に中国のUnity Operating System (Linuxディストリビューション)のユーザー向けに開発されている。

今回、Kaspersky Labは中国の検索サイト「百度(バイドゥ)」の検索結果からマルウェアを配布するWebサイトへのリンクを発見した。リンクは「Notepad++」を検索した場合と「VNote」を検索した場合に表示される。前者は偽の広告が表示されるが、後者は通常の検索結果として上位に表示されるという。

  • 「Notepad++」および「VNote」の検索結果 引用:Securelist

偽の広告のリンクをクリックすると、マルウェアを配布するWebサイトが表示される。このWebサイトは「Notepad--」のダウンロードをうたっているが、画像は「Notepad++」のコピーをそのまま使用している。ダウンロードボタンはWindows、macOS、Linux向けの3つが用意されており、これらのうちmacOSとLinuxだけがマルウェアを含むNotepad--へのリンクとなっている。

  • 悪意のある「Notepad--」を配布するWEBサイト 引用:Securelist

VNoteの検索結果のリンクは正規のVNoteサイトを模倣した偽のWebサイトへつながっている。こちらもWindows、macOS、Linux向けのダウンロードボタンが用意されており、マルウェアを含むVNoteへのリンクとなっている。これらマルウェアは同じサーバ上でホストされており、同一の脅威アクターによる攻撃とみられている。

対策

ダウンロードしたファイルをインストールしようとすると、脅威アクターのサーバからバックドア「Geacon」によく似たマルウェアをダウンロードして実行することになる。Geaconはペネトレーションツール「Cobalt Strike」のBeaconをGo言語で書き直したマルウェアで、「GitHub - darkr4y/geacon: Practice Go programming and implement CobaltStrike's Beacon in Go」にて公開されている。

今回確認された攻撃ではマルバタイジングに加え、検索結果の上位に悪意のあるWebサイトへのリンクが表示される。つまり、検索結果の上位が正規サイトへのリンクとは限らないことを示している。そのため、ソフトウェアのダウンロード時はアクセスしているWebサイトが正規のWebサイトかを必ず確認することが推奨されている。