攻撃者がGoogle広告の機能を悪用して、SlackやNotionなどの人気のコラボレーションツールの偽広告を通じて情報窃盗マルウェアをターゲットにしていることが明らかになった。AhnLab Security Intelligence Center(ASEC)の研究者たちは、広告のトラフィック追跡機能を悪用し、マルウェアを配布するURLを埋め込んだキャンペーンを発見した。この機能は本来、広告主が外部の分析サイトのアドレスを広告に挿入し、訪問者のアクセス関連データを収集して広告トラフィックを計算するために使用される。
しかし、攻撃者は外部統計サイトのURLを挿入する代わりに、悪意のあるコードを配布するサイトのURLを入力していた。このキャンペーンに関連する広告はすでに削除されているが、アクティブだった時期には、バナーをクリックすると、ユーザーをだまして悪意のあるファイルをダウンロードさせるアドレスに誘導していた。
キャンペーンでは、Rhadamanthysというスティーラーが、SlackやNotionなどのグループウェアのインストーラーに偽装されていた。マルウェアが実行されると、攻撃者のサーバーから悪意のあるファイルやペイロードをダウンロードする。このスティーラーは、システム情報やブラウザの履歴、ブックマーク、クッキー、自動入力データ、ログイン情報などのユーザーのプライベートデータを盗み出す。
ASECは、Google広告やその関連機能がRhadamanthysや他のマルウェアを配布するために悪用されたのはこれが初めてではなく、今後も続く可能性があると警告している。ユーザーは広告から提供されるリンクにアクセスする際には、広告バナーに表示されるURLではなく、実際にアクセスしたウェブサイトのURLに注意を払うべきだとしている。
【ニュース解説】
Google広告の機能を悪用して、SlackやNotionなどの人気のコラボレーションツールを装った偽の広告を通じて情報窃盗マルウェアを配布するキャンペーンが発見されました。このキャンペーンは、AhnLab Security Intelligence Center(ASEC)の研究者たちによって明らかにされました。通常、広告主は広告の効果を測定するために外部の分析サイトのURLを広告に挿入しますが、攻撃者はこの機能を悪用して、マルウェアを配布するサイトのURLを挿入していました。
このキャンペーンでは、Rhadamanthysという情報窃盗マルウェアが、SlackやNotionなどのグループウェアのインストーラーに偽装されて配布されました。ユーザーがこれらの偽のインストーラーを実行すると、攻撃者のサーバーから悪意のあるファイルやペイロードがダウンロードされ、ユーザーのプライベートデータが盗まれます。
このような攻撃は、Google広告やその関連機能が悪用される初めての事例ではありません。ASECは、今後もこのような攻撃が続く可能性があると警告しています。そのため、ユーザーは広告から提供されるリンクにアクセスする際には、広告バナーに表示されるURLではなく、実際にアクセスしたウェブサイトのURLに注意を払う必要があります。
このキャンペーンの発見は、企業や個人がオンラインでのセキュリティに対する警戒を強めるきっかけとなります。特に、リモートワークが普及している現在、コラボレーションツールを利用する際には、公式のウェブサイトから直接ダウンロードする、広告経由でのダウンロードを避けるなどの対策が重要です。
また、この事例は、広告プラットフォームのセキュリティ対策の強化や、ユーザー教育の重要性を浮き彫りにしています。企業や組織は、従業員に対してセキュリティ意識の向上を図る研修を実施することや、セキュリティポリシーを定期的に見直し、更新することが求められます。
長期的には、このような攻撃の増加は、サイバーセキュリティ技術の進化を促すとともに、法的な規制や国際的な協力の強化を必要とするでしょう。サイバー犯罪に対するより効果的な対策の開発と実装が、今後の大きな課題となります。
from Attackers Abuse Google Ad Feature to Target Slack, Notion Users.
