Malwarebytesは1月25日(米国時間)、「Malicious ads for restricted messaging applications target Chinese users|Malwarebytes」において、中国人を標的としたマルバタイジングキャンペーンを確認したと報じた。中国ではGoogle検索を含むGoogleサービスは厳しく制限または検閲されている。そのため、Googleは「google.cn」へのアクセスを「google.com.hk」へリダイレクトする処置を実施している。今回発見された悪意のある広告は、google.com.hkの検索結果として表示されたという。

  • Malicious ads for restricted messaging applications target Chinese users|Malwarebytes

    Malicious ads for restricted messaging applications target Chinese users|Malwarebytes

悪意のある広告

Malwarebytesによると今回発見された悪意のある広告は、google.com.hkから「telegram」や「LINE」を検索することで表示される。これらの広告主はどちらもナイジェリアに関連したユーザープロフィールだが、登録している広告の内容やその数から脅威アクターに乗っ取られたアカウントの可能性があるという。

  • 「telegram」を検索することで表示される悪意のある広告 - 提供:Malwarebytes

    「telegram」を検索することで表示される悪意のある広告  引用:Malwarebytes

これら広告にアクセスすると、GoogleドキュメントなどのGoogleサービスを利用したWebサイトが表示される。これらWebサイトではダウンロードリンクを表示したり、フィッシングサイトへ誘導するリンクを表示したりする。

  • 「Telegram」に偽装したフィッシングサイト「telagsmn.com」 - 提供:Malwarebytes

    「Telegram」に偽装したフィッシングサイト「telagsmn.com」 引用:Malwarebytes

マルウェアの概要と活動分析の結果

これらフィッシングサイトなどからアプリケーションをダウンロードすると、悪意のあるMSI形式のインストールファイルを取得する。インストールを実行すると、ダイナミックリンクライブラリ(DLL: Dynamic Link Library)のサイドローディング技術を使用した悪意のある処理が実行され、「PlugX」や「Gh0st RAT」と呼ばれる遠隔操作ウイルス(RAT: Remote Administration Tool)の亜種がインストールされる。

Malwarebytesの分析によると、このキャンペーンを実行している脅威アクターは、新しいペイロードの配布やコマンド&コントロール(C2: Command and Control)用のインフラ確保のために、質よりも量を重視して攻撃を実施している可能性があるという。また、オンライン活動の制限を回避しようとする人々を標的にしていることから、データ収集やスパイ活動を目的とした攻撃の可能性も否定できないと指摘している。

Malwarebytesは、このキャンペーンの調査で発見した悪意のある広告をGoogleに報告している。そのため、すでに検索結果から悪意のある広告を確認することはできない。また、この攻撃の分析にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。