Malwarebytesは9月6日(米国時間)、「Mac users targeted in new malvertising campaign delivering Atomic Stealer」において、Macユーザーを標的とする新たな不正広告キャンペーンが見つかったと報じた。
-
Mac users targeted in new malvertising campaign delivering Atomic Stealer
Malwarebytesによると、過去数カ月の間に追跡した不正広告キャンペーンの大半は、Windowsユーザーが標的であったが、最近になりWindowsおよびMacユーザーを標的とするキャンペーンを捉えたという。このキャンペーンでは、Macユーザー向けにマルウェア「Atomic Stealer (AMOS)」の更新版が配布されているとされる(参考:「Mac狙う新型マルウェア「Atomic macOS Stealer」、月額販売を発見 | TECH+(テックプラス)」)。
今回発見された不正広告の一例として、MalwarebytesはTradingViewの不正広告を挙げている。TradingViewの不正広告は、Googleの広告品質チェックの検出を回避する試みとして、次の画像のようにユニコード文字を使用した特殊なフォント文字を使用している。
-
ユニコード文字を使用した特殊なフォント文字の不正広告 引用:Malwarebytes
指摘されて初めてわかる程度の違いだが、「tradıņgsvıews[.]com」のエスケープシーケンスを表示すると、「trad\u0131\u0146gsv\u0131ews[.]com」となっておりtradingviews[.]comとは違うことがわかる。Malwarebytesではこの広告を、Googleの「広告の透明性について」から調べると、広告主がベラルーシであり不正な広告と判断できるとしている(筆者が確認したところ、この広告は国内では提供されていないとみられる)。
この広告のリンクをクリックすると、「trabingviews[.]com」という1文字違いのフィッシングサイトにつながるという。この本物そっくりの「trabingviews[.]com」サイトからアプリをダウンロードすると、マルウェアを含んだアプリがダウンロードされる。Malwarebytesはフィッシングサイトを検出する手法の一つとして、サイトのドメインの登録日時を確認する方法を示している。ドメインの登録日時は「ICANN Lookup」から確認することが可能で、「trabingviews[.]com」は2023年8月22日(協定世界時)に登録された新しいサイトであることがわかる。
Malwarebytesはこのような不正広告について、ユーザーの検索エンジンに対する信頼を悪用して被害者を狙うもので、依然として効果的な手段となっていると指摘している。このような攻撃から身を守るには、広告からダウンロードを行うのではなく、公式サイトからダウンロードするように注意する必要がある。また、リアルタイム保護機能のついたアンチウイルスソフトウェアの利用も有効な防御手段であり、導入していない場合は導入の検討が推奨される。
