SentinelOneはこのほど、「MalVirt|.NET Virtualization Thrives in Malvertising Attacks - SentinelOne」において、仮想化.NETローダを配布するマルバタイジングキャンペーンが展開されていると伝えた。 Google Adsを悪用し、マルバタイジング攻撃を通じて配布される「MalVirt」と呼ばれる新たな.NETマルウェアローダが観測されている。

マルバタイジングは、マルウェア(Malware)と、広告の意味を持つアドバタイジング(Advertising)を組み合わせた造語で、マルウェアの拡散や不正なサイトへのリダイレクトを目的とした悪質なWeb広告をいう。

  • MalVirt|.NET Virtualization Thrives in Malvertising Attacks - SentinelOne

    MalVirt|.NET Virtualization Thrives in Malvertising Attacks - SentinelOne

今回、.NETで実装され、検知を回避するために.NETアプリケーションの仮想化プロテクタであるKoiVMに基づく仮想化を使用するローダ「MalVirt」が発見されている。Googleの検索結果に表示されるGoogle Adsが悪用され、「Formbook」と呼ばれているマルウェアの配布を目的にしていることが確認されている。

Formbookはキーロギング、スクリーンショット、Webやその他の認証情報の窃取、追加マルウェアのステージングなど豊富な機能を提供するとされているWindowsを標的としたインフォスティーラ型マルウェア。コマンド&コントロール(C2: Command and Control)命令に従った動作を行うとされ、ダークWeb市場においてマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)として販売されている。

SentinelOneは、MicrosoftがインターネットからダウンロードしたMicrosoft Office文書に含まれるマクロをデフォルトで無効化したため、脅威者が別のマルウェア配布方法としてマルバタイジング攻撃に目を向けたと分析。MalVirtといった新たなローダを使ったマルバタイジングキャンペーンが展開されるようになったと伝えている。マルバタイジングを通じて被害を受けるユーザーは膨大であることから、このようなキャンペーンが今後も継続して実施されると予測されており、注意が呼びかけられている。