Malwarebytesは6月27日(米国時間)、「'Poseidon' Mac stealer distributed via Google ads|Malwarebytes」において、Webブラウザ「Arc」の偽のGoogle広告を通じて情報窃取マルウェアを配布する新しいマルバタイジングキャンペーンを確認したと報じた。このキャンペーンは「Rodrigo4」と名乗る脅威アクターの「Poseidon」プロジェクトの一環として実行されたとみられている。

  • 'Poseidon' Mac stealer distributed via Google ads|Malwarebytes

    'Poseidon' Mac stealer distributed via Google ads|Malwarebytes

マルバタイジングキャンペーンの概要

発見されたマルバタイジングキャンペーンでは、Webブラウザー「Arc」の公式サイトに偽装したGoogle広告を使用する。Arcの公式サイトは「arc[.]net」だが、広告は「arcthost[.]org」にリンクしており、アクセスすると悪意のある偽サイトの「arc-download[.]com」にリダイレクトされる。

  • Arcの公式サイトに偽装した偽のGoogle広告の例 - 引用:Malwarebytes

    Arcの公式サイトに偽装した偽のGoogle広告の例  引用:Malwarebytes

公式サイトからはWindows版とmacOS版のWebブラウザが配布されているが、偽サイトからはmacOS版のみが配布される。

  • macOS版のみを配布する悪意のある偽サイト - 引用:Malwarebytes

    macOS版のみを配布する悪意のある偽サイト 引用:Malwarebytes

ダウンロードしたDMGファイルを実行しようとすると、右クリックメニューから「開く(Open)」を選択するように求める画面が表示される。この手順はmacOSのセキュリティ保護を回避する手法とされ、この手順を求められた場合はマルウェアの可能性がある。

「Poseidon」プロジェクト

脅威アクター「Rodrigo4」の「Poseidon」プロジェクトは、macOS向け情報窃取マルウェアの配布プロジェクトとされる。Malwarebytesによると、このマルウェアは「Atomic Stealer」によく似ており、ファイル操作、暗号資産ウォレットの窃取、パスワードマネージャーの認証情報窃取、ブラウザ情報の窃取などの機能があるという。また、最新のPoseidonマルウェアにはFortinetとOpenVPNのVPN構成を窃取する機能もあるとされる。

  • Rodrigo4のアンダーグラウンドフォーラムへの投稿 - 引用:Malwarebytes

    Rodrigo4のアンダーグラウンドフォーラムへの投稿  引用:Malwarebytes

対策

Malwarebytesはこのようなマルバタイジング攻撃を回避するために、Webブラウザ拡張の「Malwarebytes Browser Guard」の導入を推奨している。また、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。