Microsoftはこのほど、「Malvertising campaign leads to info stealers hosted on GitHub|Microsoft Security Blog」において、100万台のデバイスに影響を与える大規模なマルバタイジングキャンペーンを発見したと報じた。

このキャンペーンはGitHubおよび他2つのプラットフォームを悪用してマルウェアを拡散し、一般ユーザーおよび企業ユーザーの両方を含む幅広い組織と業界に影響を与えたとされる。

  • Malvertising campaign leads to info stealers hosted on GitHub|Microsoft Security Blog

    Malvertising campaign leads to info stealers hosted on GitHub|Microsoft Security Blog

大規模なマルバタイジングキャンペーンの概要

報告によるとMicrosoft脅威インテリジェンスチームは昨年12月初旬、GitHubから悪意のあるペイロードをダウンロードした複数のホストを検出したという。これらホストはリダイレクトチェーン(オープンリダイレクト)を介してGitHubにアクセスしたとされる。

Microsoftはこのリダイレクトを分析し、アクセス元となった海賊版ビデオサイトを発見した。この動画ページにはマルバタイジングリダイレクタが埋め込まれており、視聴者を1つ、または2つの悪意あるリダイレクタを介してマルウェアや詐欺サイトなどに誘導したという。

  • 海賊版ビデオサイトからGitHubに至るまでのリダイレクトチェーンの概念図 - 引用:Microsoft

    海賊版ビデオサイトからGitHubに至るまでのリダイレクトチェーンの概念図 引用:Microsoft

マルウェアを配布

GitHubからダウンロードされたペイロードはマルウェアドロッパーとされる。情報窃取マルウェア「Lumma Stealer」や「 Doenerium」の亜種などを展開する機能を持つ。マルウェアドロッパーはマルウェアを展開すると、その後リモート監視および管理(RMM: Remote Monitoring and Management)ソフトウェアやPowerShellなど複数のスクリプトを実行し、さまざまな情報を窃取する。

スクリプトはさらに追加のマルウェアを展開し、複数の手法を用いて永続性を確保する。遠隔操作とブラウザ監視を可能にすると、Webブラウザや暗号資産ウォレットの情報を含む機密情報を窃取する。一部の攻撃では、この後さらに追加のペイロードを展開したとされる。

  • 侵害手順 - 引用:Microsoft

    侵害手順 引用:Microsoft

対策

Microsoftは対策として、マルウェアの配布に使用されたGitHubリポジトリを削除し、マルウェアの署名に使用された証明書をすべて取り消した。また、同様の攻撃からユーザーを保護するため、複数の緩和策を提案している。

発見された海賊版ビデオサイトの一覧やリダイレクタドメインなどはセキュリティ侵害インジケーター(IoC: Indicator of Compromise)として公開されており、必要に応じて活用することが望まれている。