Malwarebytesは8月21日、「Fraudulent Slack ad shows malvertiser's patience and skills」において、SlackのWebサイトを装ってマルウェアをダウンロードさせようとする悪意のあるGoogle検索広告が確認されたと伝えた。この検索広告を展開した脅威アクターは、複数のオンラインツールを駆使して標的を絞り込み、セキュリティツールによる検出を回避していることが明らかになったという。

深い階層化によって検出を回避

Malwarebytesは、Googleで「slack」を検索した際に、SlackのWebサイトを装った疑わしい検索広告が表示されていることに気付いたという。

  • Slackを装った偽のGoogle検索広告 出典:Malwarebytes

    Slackを装った偽のGoogle検索広告 出典:Malwarebytes

一見、正式なSlackの広告に見えるが、詳細情報を確認すると広告主は「CVC International Limited」となっており、Slackの提供元であるSlack Technologiesとはまったく関係のない会社であることが分かる。Google検索広告の詳細情報は、URLの右に表示される3点アイコンをクリックすれば確認できる。

この広告のリンクをクリックした場合、当初は単に本物のSlackのWebサイトにリダイレクトされるだけで、特に悪い影響を与えなかった。しかし、しばらくするとこのリンクはクリックトラッカーにリダイレクトされるようになり、最終的に攻撃者が用意した悪意のあるサーバに誘導されるように挙動が変わっていったという。

これは、セキュリティ対策ツールによる検出を回避するための手口と指摘されている。最初は本物のWebサイトにリダイレクトすることで、悪意のない広告であることを誤認させる。しばらく待って活性化させた後も、複数のクリックトラッカーを経由することでGoogleのシステムがユーザーの移動先を追跡できないようにする。

  • 複数のプラットフォームを経由して検出を回避 出典:Malwarebytes

    複数のプラットフォームを経由して検出を回避 出典:Malwarebytes

さらに、攻撃者が用意したサーバにも検出を回避するための仕組みが用意されている。Malwarebytesによる検証では、当初は悪意のない“おとり”のページだけが表示されており、さまざまな設定を微調整して初めて悪意を含んだページが表示されたという。攻撃の標的となるユーザーだけを選別して悪意のあるページを表示するように、サーバ側で何らかのチェックが行われているようだ。

最終的に表示されるページにはSlackクライアントを装ったダウンロードボタンがあり、これをクリックすると別のドメインから悪意のあるファイルがダウンロードされ、被害者はマルウェアに感染させられることになる。このマルウェアが使用しているリモートサーバは、リモートアクセス型トロイの木馬「SecTopRAT」によって使われたものと同じだという。

  • マルウェアをダウンロードさせる偽のWebページ 出典:Malwarebytes

    マルウェアをダウンロードさせる偽のWebページ 出典:Malwarebytes

Malwarebytesは、このような複数のツール/サービスを使用した深い階層化は、検出を回避する手法として今後も使われると指摘している。その上で、攻撃者には新しい攻撃キャンペーンを開始する適切なタイミングを待つ忍耐強さがあることにも留意する必要があると警告している。