FakeAPP という不正広告キャンペーン:偽の Google Ads で Line ユーザーも標的に!

Malicious Ads on Google Target Chinese Users with Fake Messaging Apps

2024/01/26 TheHackerNews — Google Ads で展開されている、Telegram などのメッセージング・アプリの不正広告キャンペーンにより、中国語圏のユーザーが狙われているという。1月25日のレポートで Malwarebytes の Jerome Segura は、「この脅威アクターは、Google の広告主アカウントを使用して悪意の広告を作成し、無防備なユーザーを RAT (Remote Administration Trojan) のダウンロード・ページに誘導している。この種の RAT は、攻撃者による被害者マシンの完全なコントロールを達成し、追加のマルウェアをドロップする能力を与える」と述べている。

コードネーム FakeAPP と命名された、この活動について特筆すべき点は、2023年10月下旬に検索エンジンで、WhatsApp や Telegram のようなメッセージング・アプリを検索する、香港ユーザーを標的にした攻撃の後続である点だ。

このキャンペーンの最新の攻撃では、メッセージング・アプリの LINE も攻撃リストに追加され、Google Docs や Google Sites でホストされた偽の Web サイトへと、 ターゲットたちをリダイレクトしている。

最終的に PlugX や Gh0st RAT などのトロイの木馬を展開する、悪意のインストーラ・ファイルを配信するサイトへのリンクを埋め込むために、Google のインフラが悪用されている。

Malwarebytes によると、この不正広告の広告主は、Interactive Communication Team Limited と Ringier Media Nigeria Limited という、ナイジェリアを拠点とする2つのアカウントだと特定された。

Segura は、「また、この脅威アクターは、常に新しいペイロードやインフラを C&C (Command-and-Control) を介してプッシュしている。つまり、質よりも量を重視しているようだ」と述べている。

同様のケースとして、過去には、Greatness と呼ばれる PhaaS (phishing-as-a-service) プラットフォームが、Microsoft 365 ユーザーを標的としたクレデンシャル・ハーベスティング・ページを作成するために使用されていると、Trustwave SpiderLabs が報告している。

Malicious Ads on Google

Trustwave SpiderLabs は、「このキットでは、送信者名/メールアドレス/件名/メッセージ/添付ファイル/QR コードなどをパーソナライズし、関連性とエンゲージメントを高めることができる。さらに、ヘッダーのランダム化やエンコーディングといった難読化により、スパム・フィルターやセキュリティ・システムを迂回する、検知対策が付属している」と詳述している。

Greatness は、月額 $120 で他の脅威アクターに販売されており、効果的に参入障壁を引き下げ、大規模な攻撃の一助となっている。

その攻撃チェーンは、攻撃者が悪意の HTML ファイルを添付したフィッシング・メールを送信することから始まる。続いて、そのメールを開いた受信者を偽のログイン・ページへと誘導し、入力されたログイン認証情報を窃取し、その情報を Telegram 経由で他の脅威アクターに流出する。

他の攻撃チェーンでは、この悪意の添付ファイルを利用して被害者のマシンにマルウェアをインストールし、情報を窃取するものもある。

攻撃の成功率を高めるために、一連の悪意のメールは、銀行や雇用主のような信頼できる情報源を装い、緊急性を高めるように「緊急の請求書支払い」や「緊急の口座確認が必要」といった件名を用いている。

Trustwave は、「現時点において、被害者の数は不明だ。しかし、Greatness は人気が高く、サポートも充実している。さらに、独自の Telegram コミュニティでは、追加のヒントやトリックとともに、キットの操作方法に関する情報が提供されている」と述べている。

Malicious Ads on Google


また、悪意の Windows ショートカット・ファイル (LNK) を介して AsyncRAT を配布するために、Kakao のようなテック企業になりすますルアーを介して、韓国の企業を狙うフィッシング攻撃も観察されている。

AhnLab Security Intelligence Center (ASEC) は、「正規の文書を装った悪質なショートカット・ファイルが継続的に配布されている。”.LNK” という拡張子はファイル名に表示されないため、ユーザーは、ショートカット・ファイルを通常のドキュメントと勘違いしてしまう」と述べている。

Google Ads を介した侵害が多発しています。その意味では、この FakeAPP も、ほんの一例に過ぎず、氷山の一角という感じです。中国語圏のユーザーがターゲットではありますが、本文中に「LINE も攻撃リストに追加さてれ」と書かれていたので、タイトルを修正しました。ご注意ください。よろしければ、Google Ads + 広告 で検索も、ご利用ください。