Malwarebytesは7月30日(米国時間)、「Threat actor impersonates Google via fake ad for Authenticator|Malwarebytes」において、Googleの多要素認証(MFA: Multi-Factor Authentication)アプリ「Google Authenticator」に偽装したマルバタイジングを確認したとして注意を呼びかけた。マルバタイジングとは、ネット広告を悪用してマルウェアを拡散するサイバー攻撃の手法。

この攻撃では、Googleになりすました脅威アクターがGoogle検索から偽Googleアプリの広告を配信しており、Google広告の信頼性が損なわれたと評価されている。

  • Threat actor impersonates Google via fake ad for Authenticator|Malwarebytes

    Threat actor impersonates Google via fake ad for Authenticator|Malwarebytes

偽のGoogle Authenticatorの正体

今回確認された偽広告は、Google検索からGoogle Authenticatorを検索した場合に表示されるという。偽広告には通常通り「Sponsored」文字が表示され、GoogleがGoogleの広告主という奇妙な表示を確認することができる。

  • Google Authenticatorの偽広告 - 引用:Malwarebytes

    Google Authenticatorの偽広告 引用:Malwarebytes

広告主の情報を確認すると「Larry Marr」という名前を確認できるが、これはGoogleと無関係の人物または偽名とみられる。この偽広告にアクセスすると攻撃者の管理するサーバを経由したリダイレクトが行われ、偽のGoogle Authenticator配布サイト「chromeweb-authenticators[.]com」にリダイレクトされる。

  • Google Authenticatorの偽サイト - 引用:Malwarebytes

    Google Authenticatorの偽サイト  引用:Malwarebytes

Malwarebytesの調査により、この偽サイトからはロシア語のコメントが確認されており、ロシア語を話す脅威アクターの関与が疑われている。この偽サイトからダウンロードできる偽アプリは情報窃取マルウェア「DeerStealer」とされ、配布にはGitHubが悪用されている。

対策

過去数日間にGoogle Authenticatorを検索してインストールしたユーザーは、上記の偽サイトからマルウェアをインストールしていないか確認することが推奨されている。また、Malwarebytesは同様の攻撃を回避するため、「 広告のリンク先からソフトウェアをダウンロードしない「公式サイトまたは公式アプリストアからソフトウェアをダウンロードする」といったことを推奨している。

今回、脅威アクターはGoogleになりすましてGoogleから偽広告を配信することに成功した。これはGoogle広告の信頼を損なうものであり、Googleには信頼回復の取り組みが望まれている。