Malwarebytesはこのほど、「PSA: Ongoing Webex malvertising campaign drops BatLoader」において、Web会議ソフトウェア「Webex」の企業ユーザーを標的としたマルバタイジングキャンペーンが進行中だとして、警告した。悪意のある広告が1週間にわたりオンライン上に存在することから警告するために情報を公開したという(Webex自体は侵害されていないことに注意)。

  • PSA: Ongoing Webex malvertising campaign drops BatLoader

    PSA: Ongoing Webex malvertising campaign drops BatLoader

Malwarebytesによると、Google検索から「Webex」を検索すると、次の画像のように悪意のある広告が表示されるという。

  • Webexの検索結果で表示される悪意のある広告 - 提供: Malwarebytes

    Webexの検索結果で表示される悪意のある広告 引用:Malwarebytes

この広告の詳細を表示するとメキシコ出身の個人が登録したものでであることがわかり、Webexとは関係ないことを確認できるという。Malwarebytesによると、この広告はGoogleの審査を通過し、なおかつ悪意のあるサイトへ誘導するためにトラッキングテンプレートを悪用しているという。サンドボックス経由からのアクセスの場合はWebexの正規サイトへリダイレクトし、それ以外では脅威アクタの悪意のあるサイトへリダイレクトする処理が行われ、審査を通過して長期にわたり広告が生存できるよう設計されているものとみられる。

悪意のあるサイトからダウンロードされるファイルはBatLoaderと呼ばれるマルウェアローダで、サンドボックスの制限を超えるように設計されており、アンチウイルスソフトウェアの検出をバイパスするとされる。このファイルのインストールを行うと、コマンド&コントロール(C2: Command and Control)サーバから環境に応じたマルウェアがダウンロードされる。Malwarebytesのセキュリティプラットフォーム環境下においては、DanaBotがダウンロードされたという。

Malwarebytesは、Googleなどの広告企業の信用を悪用するマルバタイジングは、今後も企業ユーザーにとって脅威となり続けると指摘している。また、BatLoaderのようなステルス性が高く、アンチウイルスソフトウェアからの検出が困難なマルウェアローダにより、従来の対策では対応が困難と指摘。このような脅威に対抗するため、人間による不審なアクティビティのレビューを行う「検知と対応のマネージドサービス(MDR: Managed Detection and Response)」と「エンドポイント検出応答(EDR: Endpoint Detection and Response)」とを組み合わせた完全なソリューションが必要だとしている。

Malwarebytesは本件のマルバタイジングについて、すでにGoogleへ報告している。また、セキュリティ侵害インジケータ(IoC: Indicator of Compromise)を公開し、引き続き広告環境を監視していくとしている。