Malwarebytesは6月27日(米国時間)、「'Poseidon' Mac stealer distributed via Google ads|Malwarebytes」において、Webブラウザ「Arc」の偽のGoogle広告を通じて情報窃取マルウェアを配布する新しいマルバタイジングキャンペーンを確認したと報じた。このキャンペーンは「Rodrigo4」と名乗る脅威アクターの「Poseidon」プロジェクトの一環として実行されたとみられている。
マルバタイジングキャンペーンの概要
発見されたマルバタイジングキャンペーンでは、Webブラウザー「Arc」の公式サイトに偽装したGoogle広告を使用する。Arcの公式サイトは「arc[.]net」だが、広告は「arcthost[.]org」にリンクしており、アクセスすると悪意のある偽サイトの「arc-download[.]com」にリダイレクトされる。
公式サイトからはWindows版とmacOS版のWebブラウザが配布されているが、偽サイトからはmacOS版のみが配布される。
ダウンロードしたDMGファイルを実行しようとすると、右クリックメニューから「開く(Open)」を選択するように求める画面が表示される。この手順はmacOSのセキュリティ保護を回避する手法とされ、この手順を求められた場合はマルウェアの可能性がある。
「Poseidon」プロジェクト
脅威アクター「Rodrigo4」の「Poseidon」プロジェクトは、macOS向け情報窃取マルウェアの配布プロジェクトとされる。Malwarebytesによると、このマルウェアは「Atomic Stealer」によく似ており、ファイル操作、暗号資産ウォレットの窃取、パスワードマネージャーの認証情報窃取、ブラウザ情報の窃取などの機能があるという。また、最新のPoseidonマルウェアにはFortinetとOpenVPNのVPN構成を窃取する機能もあるとされる。
対策
Malwarebytesはこのようなマルバタイジング攻撃を回避するために、Webブラウザ拡張の「Malwarebytes Browser Guard」の導入を推奨している。また、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。