AIツールを検索する？マルウェア「RedLine」を配布する不正サイトに要注意

OpenAI ChatGPTやMidjourneyといった生成型AIサービスの悪質なGoogle検索広告が、RedLine Stealerマルウェアの配信を目的としたBATLOADERキャンペーンの一環として、ユーザーを怪しげなウェブサイトへ誘導するために使用されています。

"どちらのAIサービスも非常に人気がありますが、ファーストパーティのスタンドアロンアプリがありません（つまり、ユーザーはChatGPTのウェブインターフェースを介してChatGPTとインターフェースし、MidjourneyはDiscordを使用します）"とeSentireは分析で述べています。

"この空白は、AIアプリの検索者を偽アプリを宣伝する偽者のウェブページに誘導しようとする脅威行為者によって悪用されています。"

BATLOADERは、検索エンジンで特定のキーワードを検索したユーザーに偽の広告を表示し、クリックするとマルウェアをホストする不正なランディングページにリダイレクトするドライブバイダウンロードによって伝播するローダーマルウェアです。

eSentireによれば、インストーラファイルには、実行ファイル（ChatGPT.exeまたはmidjourney.exe）と、リモートサーバからRedLine StealerをダウンロードしてロードするPowerShellスクリプト（Chat.ps1またはChat-Ready.ps1）が仕込まれています。

インストールが完了すると、このバイナリはMicrosoft Edge WebView2を使って、ChatGPTとMidjourneyの正規のURLであるchat.opai[.]comまたはwww.midjourney[.]comをポップアップウィンドウで読み込み、赤旗を表示しないようにする。

AIツール
ChatGPTとMidjourneyをテーマにした誘い文句で不正な広告を表示し、最終的にRedLine Stealerマルウェアをドロップするという敵の手法は、先週トレンドマイクロが取り上げたものでもあります。

AIツール
BATLOADERの背後にいるオペレーターが、AIの流行に乗じてマルウェアを配布するのは今回が初めてではありません。2023年3月、eSentireは、Vidar StealerとUrsnifを展開するためにChatGPTルアーを活用した同様の一連の攻撃について詳述しました。

サイバーセキュリティ企業はさらに、Google検索広告の悪用が2023年初頭のピークから低下していると指摘し、テックジャイアントがその悪用を抑制するために積極的な措置を取っていることを示唆しています。

今回の調査結果は、Securonixが2022年12月から2023年3月にかけて暗号通貨分野を標的としたOCX#HARVESTERと名付けられたフィッシングキャンペーンを、追加のペイロードを提供するために使われるJavaScriptダウンローダーのMore_eggs（別名Golden Chickens）で発見した数週間後のことです。

eSentireは1月、マルウェア・アズ・ア・サービス（MaaS）の主要な運営者の1人の身元をカナダのモントリオールに所在する個人に突き止めました。その後、このグループに関連する2人目の脅威者は、Jackという偽名を名乗るルーマニア人であることが判明しています。

---

私について:
東京を拠点にサイバーセキュリティの実践スペシャリストとして活動しています。私の日本語は完璧ではありませんが、あなたと快適に話すことができます。ここで私を見つけることができます -
LinkedIn - https://www.linkedin.com/in/arpitjain099/
GitHub - https://github.com/arpitjain099