Malwarebytesは4月4日(米国時間)、「Bing ad for NordVPN leads to SecTopRAT|Malwarebytes」において、Microsoft Bingの検索広告を悪用したマルバタイジングキャンペーンを発見したと報じた。このサイバー攻撃のキャンペーンでは「NordVPN」に偽装した広告を通じてマルウェアを配布するという。

  • Bing ad for NordVPN leads to SecTopRAT|Malwarebytes

    Bing ad for NordVPN leads to SecTopRAT|Malwarebytes

「NordVPN」に偽装した広告の概要

Malwarebytesが発見した悪意のある広告はMicrosoft Bingから「nord vpn」を検索することで表示されたとのこと。この広告のリンク先アドレスは「nordivpn[.]xyz」となっており、正規サイトのURLと異なることが一見してわかる。

  • 偽のNordVPN広告 - 引用:Malwarebytes

    偽のNordVPN広告 引用:Malwarebytes

この広告をクリックすると、正規のWebサイト「nordvpn[.]com」とは異なる「besthord-vpn[.]com」へリダイレクトされる。この偽のWebサイトは正規サイトに似た外観だが、正規サイトにはないダウンロードボタンが用意されている。ダウンロードボタンをクリックすると、Dropboxから悪意のあるインストールファイルをダウンロードすることになる。

マルウェア「SecTopRAT」

ダウンロードしたインストールファイルには「nordvpn s.a.」のデジタル署名が存在するが、無効とされる。また、このファイルにはNordVPNのインストーラーとマルウェアの両方が含まれており、インストールを開始するとおとりとしてNordVPNのインストールが開始される。同時に、バックグラウンドにてマルウェアをMSBuild.exeに注入して実行する。

実行されるマルウェアは多数の機能を備えた「SecTopRAT(別名:ArechClient2)」とされる。このマルウェアはシステム情報、ブラウザの認証情報、ウォレット関連情報などを窃取する機能や、攻撃者のコマンド&コントロール(C2: Command and Control)サーバーに接続してリモートデスクトップを実行する機能を持つとされる。

対策

マルバタイジングは偽の広告からマルウェアをインストールさせる簡単かつ有効な手法とみられ、脅威アクターに繰り返し利用されている。このような攻撃を回避するため、検索サイトの利用時には広告のURLを確認してからアクセスすることが推奨されている。また、ファイルをダウンロードする場合はアクセスしているWebサイトが公式サイトか必ず確認し、それからダウンロードすることが推奨されている。

なお、今回発見された悪意のあるインストールファイルはすでにDropboxにより対処されており、ダウンロードすることはできない。また、Malwarebytesは調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。