ZLoader マルウェア亜種:TeamViewer フェイク広告から忍び込む

New Stealthier ZLoader Variant Spreading Via Fake TeamViewer Download Ads

2021/09/14 TheHackerNews — Google などの検索エンジンで、RDP (remote desktop) ソフトウェア TeamViewer を検索するユーザーは、気をつけないと悪意のリンクに誘導され、ZLoader マルウェアをシステムにドロップすることになる。その瞬間に、感染したデバイスに ZLoaderは 留まり、セキュリティ・ソリューションによる検知を逃れ、ステルス性の高い感染チェーンを広げていく。

SentinelOne の研究者たちは、月曜日に発表したレポートの中で、「このマルウェアは、Google Adwords を介して公開された、Google の広告からダウンロードされる。このキャンペーンで攻撃者は、フィッシングなどでダイレクトに、被害者を危険にさらすという古典的な方法を用いず、間接的な方法で被害者を危険にさらす」と述べている。

ZLoader (別名:Silent Night / ZBot) は、2016年に初めて発見された。それは、完全な機能を備えたバンキングトロイの木馬であり、ZeuS という別のバンキング・マルウェアのフォークであり、その時のバージョンでは、被害者のシステムへのリモートアクセスを許可する、VNC モジュールが実装されていた。このマルウェアの開発は活発であり、2011年に ZeuS のソースコードが流出したことをきっかけに、その後も多様な亜種が生み出されてきた。

今回の攻撃は、オーストラリアとドイツの金融機関のユーザーを標的としており、銀行ポータルへ向けたユーザーの Web リクエストを傍受し、銀行の認証情報を盗むことを、主な目的にしていると推測される。しかし、このキャンペーンは、Windows Defender を無効にして、悪意の活動を隠すための一連のコマンドを実行するなど、スティルス化のための手順があることも注目されている。

感染の連鎖は、Google 検索ページに表示された広告をユーザーがクリックし、攻撃者の管理下にあるフェイク TeamViewer サイトにリダイレクトされることで、被害者を騙して不正なソフトウェアを、しかも署名されたバリアント Team-Viewer.msi を、ダウンロードさせることから始まる。この偽装インストーラーは、第一段階のドロッパーとして機能し、マシンの防御力を低下させることを目的とした、第二段階のドロッパーをダウンロードする。最終的には、ZLoader DLL ペイロード “tim.dll” がダウンロードされるという、一連のアクションを引き起こす。

SentinelOne の Senior Threat Intelligence Researcher である Antonio Pirozzi は、「まず、PowerShell コマンドレットの Set-MpPreference による、すべてのWindows Defender モジュールが無効にされる。その後に、コマンドレット Add-MpPreferenceで regsvr32/*.exe/*.dll などの除外された項目を追加し、マルウェアの全コンポーネントを Windows Defender から隠す」と述べている。

SentinelOne は、Discord や Zoom などの人気アプリを模倣した、追加のアーティファクトを発見したと述べており、TeamViewer を活用する以外にも、複数のキャンペーンが継続されていることが示唆される。

Antonio Pirozzi は、「この調査で分析された攻撃チェーンは、フィッシングメールを通じて被害者を危険にさらすという、従来のアプローチに代わる方法を用いて、より高いレベルのステルス性に到達するという、攻撃の複雑さが増大してきた様子を示している。第一段階のドロッパーをインストールする手法は、被害者にソーシャル・エンジニアリングを仕掛けることから、悪意のドキュメントを開くことへと、また、ステルスで署名された MSI ペイロードを配信するリンクで、ユーザーの Web 検索を汚染することへと、変更されている」と述べている。

先ほど、Google で TeamViewer を検索したら、トップに広告が出ていました。この記事が出たのは、日本時間の9月15日です。もう、すでに、偽広告は消えていると思いますが、本物だと判断できるものはないので、何もせずにブラウザのタブを閉じました。検索結果からマルウェアをドロップしてしまうパターンは、これ以外にも、たとえば無償の PDF テンプレートなどが挙げられますので、気をつけましょう。それにしても、信頼できそうな Google 広告から、信頼できそうな TeamViewer にアクセスするだけで、こんな結果に至るというのは驚きです。

%d bloggers like this: