Facebookなどの偽広告に注意、検出困難なマルウェア配布

Check Point Software Technologiesは7月29日(米国時間)、「Sealed Chain of Deception: Actors leveraging Node.JS to Launch JSCeal - Check Point Research」において、暗号資産を持つ人を標的とするマルウェア配布キャンペーン「JSCEAL」を発見したと報じた。攻撃者は数万もの偽広告を用い、48の暗号資産取引アプリに偽装した偽アプリを配布したという。

同キャンペーンの過去の活動については、Microsoftから詳細な情報が公開されている。また、Check Pointの分析に近い他社のレポートも公開されており、次のページから確認することができる。

Sealed Chain of Deception: Actors leveraging Node.JS to Launch JSCeal - Check Point Research

高度な分析の妨害

このキャンペーンでは、JavaScriptコンパイル済みファイル(JSC: JavaScript Compiled file)を使用する特徴が確認されている。JSCはテキストで記述されたJavaScriptをバイナリ形式の中間コードに変換したファイルで、解析処理を事前に実行しておくことで高速化する技術とされる。

ところが今回、攻撃者は本来の目的ではなく、分析を妨害する目的でこのファイルを用いた可能性がある。Check Pointによると、JSCに変換することで元のコードを隠蔽し、静的解析をほぼ不可能にすることができるという。

侵害経路

初期の侵害経路はマルバタイジング(偽広告)とされる。攻撃者はソーシャルネットワーキングサービス(SNS: Social networking service)の広告枠を購入し、暗号資産、トークン、金融機関になりすました偽の広告を配信する。

偽広告の例　引用：Check Point

偽広告をクリックすると被害者のIPアドレスが確認され、特定の範囲内に含まれる場合に限り偽サイトにリダイレクトされる。含まれない場合は無害なおとりサイトに誘導される。

偽サイトは広告に掲載されていたアプリの正規サイトを装い、悪意のあるインストールファイルを配布する。被害者がダウンロードを開始すると、すぐにインストールを開始するように促すガイドが表示される。

ユーザーが指示に従わず、Webブラウザを閉じるとその後のインストールはすべて失敗する。これは偽サイトにインストールプロセスを追跡するJavaScriptが含まれており、通信できない場合にインストールを失敗させ、静的分析を妨害する仕組みとされる。

インストールを開始すると、被害者を安心させるためにアプリの正規サイトが表示される。バックグラウンドでは複数のDLLが展開・実行され、偽サイトと通信しながらインストールプロセスを続行する。

その後、PowerShellスクリプトの実行、広範囲のシステム情報およびネットワーク情報の窃取、位置情報、メールの窃取などを行い、最後にJSC形式のマルウェア「JSCEAL」を実行する。JSCEALはセキュリティソリューションに対する耐性を持ち、標的マシンを完全に制御することが可能とされる。Check Pointによると、これら高度な機能が分析を困難かつ時間がかかるものにしており、詳細はまだ公開できる状態にないという。

侵害経路　引用：Check Point

影響と対策

これまでの分析で、JSCEALにはさまざまな高度な機能が備わっていることが判明している。その中にはWebブラウザの情報窃取や、暗号資産ウォレットの操作機能などがあり、経済的利益が目的と推測されている。

攻撃者は少なくとも2025年上半期に約35,000件の偽広告を掲載し、欧州連合(EU: European Union)圏内だけで数百万回閲覧されたという。また、配布されたインストールファイルは100回以上VirusTotalに提出されているが、これまでのところ主要なセキュリティソリューションによる検出は確認できていないとされる。

このキャンペーンでは、暗号資産取引アプリに偽装した偽アプリを配布している。このような攻撃を回避するため、暗号資産ユーザーはアプリのダウンロード前にURLを検証し、正規サイトにアクセスしているか確認することが推奨される。

また、Check Pointは調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を広範囲に公開しており、必要に応じてセキュリティ対策に活用することが望まれている。