AhnLab SEcurity intelligence Center(ASEC)では最近、Google の広告トラッキング機能を活用してマルウェアが配布されている状況を捕捉した。確認された事例として、Notion、Slack のように多くの人が使用するグループウェアのインストールプログラムに偽装したマルウェアが配布された。配布されたマルウェアは、攻撃者のサーバーから不正なファイルおよびペイロードをダウンロードし、確認されたファイル名は以下の通りである。
- Notion_software_x64_.exe
- Slack_software_x64_.exe
- Trello_software_x64_.exe
- GoodNotes_software_x64_32.exe
このタイプのマルウェアは、主に Inno Setup インストーラーや NSIS(Nullsoft Scriptable Install System)インストーラーの形態で配布されている。その内 Notion_software_x64_.exe ファイルは、最近までもグーグルで「notion」キーワードで検索するとユーザーに露出されていたことが確認された。
攻撃者は、Google 広告のトラッキング機能を利用し、ユーザーが正常なサイトにアクセスしていると思わせるように設定した。
Google の広告トラッキング機能は、広告主が外部統計サイトのアドレスを挿入することで、ユーザーの接続関連データを収集し、統計に活用できるようにする機能である。以下の図は、Google で広告挿入時に設定する最終 URL とトラッキングテンプレート URL の例である。
以下の図は任意で作った広告画面である。以下の図に表示される広告には、トラッキング URL が挿入されている状態であり、ユーザーには見えないことを確認することができる。ユーザーが広告のバナーをクリックすると、実際にはユーザーに表示される最終 URL ではなく、トラッキングテンプレート URL に接続する。
本来、Google 広告のトラッキング機能は、ユーザー接続の統計目的で活用するが、攻撃者は外部統計サイトのアドレスではなくマルウェアの配布元を挿入した。
現在は攻撃者の広告がなくなった状態であり、配布当時には攻撃者の広告バナーをクリックすると、実際には以下のアドレスに接続して不正なファイルをダウンロードするように誘導した。確認された経由アドレスおよび最終接続アドレスは以下の通りである。
経由アドレス
1. hxxps://www.googleadservices[.]com/pagead/aclk?sa=L&ai=DChcSEwjvxY_g38yEAxX96RYFHbN_DHwYABAAGgJ0bA&ase=2&gclid=CjwKCAiArfauBhApEiwAeoB7qFTSv58y3yV4nTuE_ptW9t-YIT1-Y_jH70VIcuKX3qsNu9u5d2TplRoCKDwQAvD_BwE&ohost=www.google.com&cid=CAESVeD21RQt4fRwNUkcEV8_EYQ96OMpQS8F7ZevrgG_k_jZewow_akDRbQ3vK-L7r7Z7yVUCyf4YKpyZrJCjoIkJjEcGbU1LviHlcWC8x9hRsFbAGy8Sbc&sig=AOD64_3Ho3r-SX_3edPZOWfLXPSWeCY1SQ&q&nis=6&adurl&ved=2ahUKEwibkYng38yEAxWScPUHHRJlCjAQ0Qx6BAgFEAE
2. hxxps://pantovawy.page[.]link/jdF1/?url=https://www.notion.so/pricing%3Fgad_source%3D1&id=8
3. hxxps://cerisico[.]net/
最終接続アドレス
● hxxps://notione.my-apk[.]com
最終的に接続されたページは、実際のコラボレーションツールのページと似たように製作されており、ユーザーにとにかくマルウェアをダウンロードして実行するように誘導する。
実行されたマルウェアは、textbin、tinyurl のようにテキストを保存できる Web サイトを利用して不正なペイロードのアドレスにアクセスする。攻撃者が不正なペイロードのアドレスを取得するためにアクセスする URL は以下の通りである。
- hxxp://tinyurl[.]com/4jnvfsns
- hxxp://tinyurl[.]com/4a3uxm6m
- hxxps://textbin[.]net/raw/oumciccl6b
- hxxp://tinyurl[.]com/mrx7263e
上記のアドレスにアクセスすると、不正なペイロードのダウンロードアドレスを応答として返す。接続時に応答として受信する不正なペイロードの URL は以下の通りである。
- hxxps://slashidot[.]org/@abcDP.exe
- hxxps://yogapets[.]xyz/@abcmse1.exe
- hxxps://bookpool[.]org/@Base.exe
- hxxp://birdarid[.]org/@abcDS.exe
上記のアドレスから最終的にインフォスティーラータイプの Rhadamanthys マルウェアをダウンロードし、実行すると %system32% パスにある Windows の正常なファイルにマルウェアをインジェクションして実行する。正常なファイルによって実行されるため、ユーザーはマルウェアの動作を認知できず、情報を窃取される恐れがある。
インジェクション対象である Windows の正常なファイル(%system32% パス)
● dialer.exe
● openwith.exe
● dllhost.exe
● rundll32.exe
今回の Rhadamanthys マルウェア配布事例では、Google 広告を利用してユーザーを欺瞞していることが確認できた。Google だけでなく、統計サービスのためのトラッキング機能が提供される他の検索エンジンも攻撃者のマルウェア配布に悪用される可能性がある。ユーザーは、広告に表示されたアドレスではなく、接続した時に表示される URL を確認する必要がある。
[IOC]
[MD5]
9437c89a5f9a51a4ff6d6076083fa6c9
12b6229551fbb1dcb2823bc8b611300f
33aa3073d148816e9e8de0af4f84582e
f0a3499f83d2d9066ab19d39b9af6696
2498997ab3e66e24bc08d044e0ef4418
f2590ece758eb32302c504ac3ff413f4
eef03c8cd2f27ead8b2d59d5cda4cf6e
9034cf58867961cde08a20cb1057c490
f7200603cb8aa9e2b544255ed848c9c0
[URL]
hxxp://tinyurl[.]com/4jnvfsns
hxxp://tinyurl[.]com/4a3uxm6m
hxxps://textbin[.]net/raw/oumciccl6b
hxxp://tinyurl[.]com/mrx7263e
hxxp://tinyurl[.]com/253x7rnn
hxxps://slashidot[.]org/@abcDP.exe
hxxps://yogapets[.]xyz/@abcmse1.exe
hxxps://bookpool[.]org/@Base.exe
hxxp://birdarid[.]org/@abcDS.exe
hxxps://alternativebehavioralconcepts[.]org/databack/notwin.php
hxxps://pantovawy.page[.]link/jdF1/?url=https://www.notion.so/pricing%3Fgad_source%3D1&id=8
hxxps://cerisico[.]net/
[ファイル検知]
Trojan/Win.Agent.C5595056 (2024.02.29.02)
Trojan/Win.Agent.C5592526 (2024.02.23.02)
Trojan/Win.Agent.C5594794 (2024.02.28.03)
Trojan/Win.Rhadamanthys.R636740 (2024.02.27.00)
[振る舞い検知]
Injection/MDP.Event.M10231
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories: マルウェアの情報