ニュース

Google広告上で正規ソフトを装ったマルウェアが増加中

正規のSlackを装った広告ページ(出典:トレンドマイクロ)

 トレンドマイクロSpamhaus Technologyといったセキュリティ企業が、Googleの広告を悪用して有名なソフトウェアを装ったページへ誘導し、実際にはユーザーに「IcedID」というマルウェアをダウンロードさせている事象が増加していることを報告し、ユーザーに注意を促している。

 Googleには「Pay Per Click」広告があり、ソフトウェア名などでキーワード検索すると、オーガニック検索結果の上、横、下、あるいは目立つ場所に、その広告を表示させる仕組みが用意されている。2022年12月以降、この仕組みを悪用し、Adobe ReaderやGIMP、LibreOffice、Teams、OBS、Slack、Thunderbirdといったソフトウェアを装ったページへ誘導し、マルウェアを拡散する偽広告が増加しているという。米連邦捜査局(FBI)も2022年12月に注意喚起を発表していた。

 今回のIcedIDの手口が巧妙なのは、WindowsのインストールパッケージであるMSIファイルを経由してローダを作成している点。正規のDLLを取り出して、序数の最後で「init」というエクスポート関数名を使用し、正規の関数と不正な関数を置き換える。そのため、不正なファイルであっても正規版とほぼ同一になっており、機械学習による検出を困難にさせている。

 今のところ一番の有効な防御策と言えそうなのが、クリックする前にドメイン名やURLをしっかりと確認することだろう。

不正なインストーラにより、マルウェアをロードするローダが作成される