Malwarebytesはこのほど、「Active Nitrogen campaign delivered via malicious ads for PuTTY, FileZilla|Malwarebytes」において、システム管理者を標的とする進行中のマルバタイジングキャンペーンを発見したと伝えた。このキャンペーンでは、SSH/telnetクライアント「PuTTY」およびFTPクライアント「FileZilla」を装った偽の広告からマルウェア「Nitrogen」が配布されるという。
偽広告の実態
Malwarebytesによると、今回発見されたキャンペーンではGoogle検索から「putty」または「filezilla」を検索することで偽の広告が表示されるという。この広告は北米にローカライズされており、他の地域では表示されないとみられる。
この広告にアクセスすると、クローキングを使用してボットやクローラーをおとりのWebサイトまたはRick Astley氏のYouTubeビデオへリダイレクトし、研究者やセキュリティ調査企業などによる分析を妨害する。それ以外の一般ユーザーからのアクセスは悪意のあるWebサイトへリダイレクトする。
悪意のあるWebサイトからはマルウェアを含むファイルが配布されており、ファイルに含まれるsetup.exeを実行するとDLL(Dynamic Link Library:ダイナミックリンクライブラリ)のサイドローディング技術を悪用してマルウェア「Nitrogen」が実行される。
Nitrogenは被害者のネットワークに侵入するために使用される。攻撃者は侵入に成功すると追加のマルウェアなどを展開して情報窃取、ランサムウェア攻撃などを実行するとみられる。
対策
今回のキャンペーンで使用された偽の広告には明らかに公式サイトと異なるURLが表示されており、URLを確認することで攻撃を回避できる。また、広告のリダイレクト先となる偽Webサイトにも「puttyy[.]ca」など公式サイトと異なるドメインが使用されており、ダウンロード前にアドレスを確認することで攻撃を回避可能。
今回の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。