Google広告を悪用したマルウェア

2021年9月28日 15:37

Microsoft Security Intelligenceは、ZLoaderキャンペーンを分析した結果についてツイートしました。

While analyzing ZLoader campaigns in early September, we observed a notable shift in delivery method: from the traditional email campaigns to the abuse of online ad platforms. Attackers purchased ads pointing to websites that host malware posing as legitimate installers. pic.twitter.com/8HkR4kmyO6
— Microsoft Security Intelligence (@MsftSecIntel) September 23, 2021

■悪用されるGoogle広告

まずは仕組みについて説明している画像を、簡略化して翻訳しました。

ダミーの会社をたて、正規のWEB運営を装ってGoogle広告を購入することで、ソフトのインストールを促します。
実際、ソフトは正規のものに紛れて悪意のあるファイルも組み込まれている仕様ですので、Google側も判断が難しいようです。

■関連するマルウェア

ZLoader（マルウェア）を運用しているグループが、配布する術として、このGoogle広告を利用しているそうです。
このマルウェアは、バンキング型のトロイの木馬であり、クッキーやパスワードなどの秘密情報を盗む機能があります。また、Ryukランサムウェアの配布時にも使用されていることもわかり、バックドアや他のマルウェアを呼び込む機能を持ち合わせています。

さらに、米国時間9/23にはCISAより「ZLoaderがランサムウェア「Conti」の配布に使われている」というアラートをだしました。
Contiは2020年5月に初めて確認された、二重脅迫ランサムウェアです。

ZLoaderを通して様々なキャンペーンが展開されています。
「アドウェアが入っていたって危なくない」と解釈している方も多いと思いますが、今回の件に関しては、アドウェアの侵入経路と同等レベルであり、被害にあう可能性は十分あります。

とにもかくにも、私たちが日常使いしているGoogleを足掛けになっているので、情報をいれながら、出来る対策を行っていきましょう。