CCleaner Pro の海賊版を装うマルウェア:Google 検索に現れる怪しい広告に御用心

Poisoned CCleaner search results spread information-stealing malware

2022/06/08 BleepingComputer — Windows 最適化プログラム CCleaner Pro を検索すると、その海賊版の広告が表示され、騙されてインストールすると、パスワード/クレジットカード/暗号化ウォレットなどを盗み出すマルウェアを取り込むことになる。この新しいマルウェア配布キャンペーンは、Avast のアナリストが発見したものであり、FakeCrack と名付けられている。Avast の顧客テレメトリー・データによると、平均して1万件ほどの感染未遂が、日々検出されているとのことだ。これらの被害者の多くは、フランス/ブラジル/インドネシア/インドに在住している。

このキャンペーンで配布されたマルウェアは、個人情報や暗号通貨情報を採取し、データ・スナッチ・プロキシを通じてインターネット・トラフィックをルーティングする、とてもパワフルな情報スティーラーである。

Black Hat SEO キャンペーン

この脅威の仕掛け人は、Black Hat SEO の手法に従い、マルウェアを配布するための Web サイトを、Google 検索結果の上位にランク付けし、より多くの人々を騙し、マルウェアを混入した実行ファイルをダウンロードさせるようにしている。

Avast が発見したルアーは、現在でも多くのユーザーが必携と考えている、CCleaner Professional のクラック版であり、Windows のシステムクリーナーおよびパフォーマンス最適化ツールとして瑠葉されるものである。

Google Search results pointing to malicious sites
Google Search results pointing to malicious sites (Avast)

この不正な検索結果に反応した被害者は、いくつかの Web サイトを経由し、最終的に ZIP ファイルのダウンロードを提供する、ランディング・ページへと誘導される。このランディング・ページは、filesend.jp や mediafire.com のような、正規のプラットフォームにホストされている。

Malware-distribution portal
Malware-distribution portal (Avast)

この ZIP は、”1234″ といった弱い暗証番号で保護されているが、アンチウィルスによる検知から、ペイロードを保護するために存在するパスワードに過ぎない。通常、アーカイブ内のファイルは “setup.exe” または “cracksetup.exe” という名前を持つが、Avast の調査によると、このキャンペーンでは8種類の実行ファイルが使用されているという。

危険な情報窃取型マルウェア

このマルウェアをインストールした被害者は、アカウント・パスワード/保存されたクレジットカード情報/暗号通貨ウォレットの認証情報などの、Web ブラウザに保存された情報を盗み出されてしまう。さらに、クリップボードにコピーされたウォレット・アドレスを監視し、マルウェアの運営者の管理下にあるアドレスに置き換えて、支払い先を変更させられる。このクリップボード乗っ取り機能は、Bitcoin/Ethereum/Cardano/Terra/Nano/Ronin/Bitcoin Cash などの、さまざまな暗号通貨アドレスに対応している。

Malware monitoring the clipboard
Script monitoring the clipboard (Avast)

また、このマルウェアはプロキシを介して、被害者による検出などが非常に難しい中間者攻撃を行い、暗号通貨市場のアカウント認証情報を盗み出す。このレポートの中で Avast は、「攻撃者は、悪意のプロキシ自動設定スクリプト (PAC:Auto Configuration Script) をダウンロードするための、IP アドレスを設定できる。この IP アドレスを標的システムに設定することで、被害者がリストにあるドメインにアクセスするたびに、トラフィックは攻撃者の制御下にあるプロキシサーバーにリダイレクトされる」と説明している。

このプロキシの仕組みは、以下における新しいレジストリキーにより追加される。

“HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings”

被害者は、Network & internet on Windows Settings で “Use a proxy server” オプションを OFF にすることで、この悪意の機能を無効化できる。

すでに、このキャンペーンは広まっており、感染率も高いため、CCleaner Professional のダウンロード・サイトが、Google 検索で上位に表示されていても、クラックされたソフトウェアをダウンロードするのを避けなければならない。

この CCleanerですが、だいぶ前のことになりますが、使ったことがあります。メモリを大容量にすれば、使わずに済む製品かもしれませんが、それも使い方によりけりです。さらに言えば、AV ソフトウェアはどうするのかという、問題に突き当たります。すベてに対して言えることですが、とにかく、衝動的なインストールは行わない、また、ダウンロード元を疑い、信頼できるベンダーサイトからのみ、ダウンロード/インストールするという考え方で対処する他にありませんね。

%d bloggers like this: