マイクロソフト、Chrome、Edge、Firefoxを感染させるマルウェアキャンペーンについて警告

マイクロソフトは木曜日にブログ投稿で、検索結果に広告を静かに挿入するように設計された新しいマルウェアキャンペーンについて警告しました。このキャンペーンは、Microsoft Edge、Google Chrome、Yandex Browser、Mozilla Firefoxなど、複数のブラウザに影響を与えています。

マイクロソフトによると、持続的なマルウェアキャンペーンは、少なくとも2020年5月から進化したブラウザ修正マルウェアを大規模に配布しています。2020年8月には、30,000台以上のデバイスが毎日このマルウェアに感染していたピークに達しました。

「私たちはこのブラウザ修正プログラムのファミリーをAdrozekと呼んでいます。検出されずにブロックされない場合、Adrozekはブラウザ拡張機能を追加し、ターゲットブラウザごとに特定のDLLを修正し、検索エンジンからの正当な広告の上に追加の無許可広告を挿入するためにブラウザ設定を変更します」とマイクロソフトチームは書いています。

「意図された効果は、特定のキーワードを検索しているユーザーが、これらのマルウェア挿入広告を誤ってクリックし、提携ページに誘導されることです。攻撃者は、提携ページにリファラルされたトラフィックの量に応じて支払われる提携広告プログラムを通じて収益を得ます。」

マイクロソフトチームによると、ブラウザ修正マルウェアは必ずしも新しいものではなく、特に高度でもありませんが、このキャンペーンが複数のブラウザに影響を与えるマルウェアを利用しているという事実は、この脅威の種類がますます洗練されていることを示しています。さらに、このマルウェアは持続性を維持し、ウェブサイトの認証情報を外部に流出させ、影響を受けたデバイスを追加のリスクにさらします。

マイクロソフトは、2020年5月から9月までのAdrozekキャンペーンの追跡において、数十万のユニークなマルウェアサンプルを配布するために使用された159のユニークなドメインを確認しました。それぞれのドメインは平均して17,300のユニークなURLをホストし、さらに平均して15,300のユニークで多形のマルウェアサンプルをホストしています。

2020年5月から9月まで、レドモンドのテクノロジー大手は、世界中で数十万件のAdrozekマルウェアの遭遇を記録し、特にヨーロッパ、南アジア、東南アジアに集中していました。

Adrozekマルウェアは、ドライブバイダウンロードを通じてデバイスにインストールされます。攻撃者は多形性に大きく依存しており、これにより大量のサンプルを生成し、検出を回避することができます。

配布インフラも非常に動的です。一部のドメインは1日だけ存在し、他のドメインは最大120日間アクティブでした。興味深いことに、一部のドメインはProcess Explorerのようなクリーンファイルを配布しており、これは攻撃者が自らのドメインとURLの評判を向上させ、ネットワークベースの保護を回避しようとした試みである可能性があります。

マイクロソフトは以下の画像でAdrozekの攻撃チェーンを説明しています：

上の画像に見られるように、ドメインからのインストーラーは、%temp%フォルダにランダムなファイル名の.exeファイルをドロップします。このファイルは、正当なオーディオ関連ソフトウェアのように見えるファイル名を使用してProgram Filesフォルダにメインペイロードをドロップします。マルウェアはAudiolava.exe、QuickAudio.exe、converter.exeなどのさまざまな名前を使用します。

インストールされると、Adrozekはブラウザの設定やコンポーネントに複数の変更を加え、デフォルトのホームページを変更し、新しいブラウザ拡張機能を追加し、ブラウザのDLLファイル、デフォルトの検索エンジン、更新スケジュール、権限設定などを変更し、マルウェアが検索エンジンの結果ページに広告を挿入できるようにします。

これだけでは不十分な場合、Mozilla Firefoxでは、Adrozekマルウェアがブラウザからユーザーの認証情報を盗み、それが攻撃者のサーバーに送信されます。

「多くのドメインが数万のURLをホストしている一方で、いくつかのドメインは100,000以上のユニークなURLを持ち、1つはほぼ250,000をホストしていました。この大規模なインフラは、攻撃者がこのキャンペーンを運営し続ける決意を反映しています」とマイクロソフトは付け加えました。

マイクロソフトは、このマルウェアをデバイスで見つけたエンドユーザーに対して、ブラウザを再インストールすることを推奨しています。さらに、ユーザーはマルウェア感染を防ぐ方法や、信頼できないソースからのソフトウェアのダウンロードやインストール、疑わしいウェブサイトの広告やリンクをクリックするリスクについて自分自身を教育するべきだとも述べています。

予防措置として、エンドユーザーは自分のセキュリティソフトウェアとオペレーティングシステムが最新であることを確認する必要があります。企業に関しては、承認されたアプリやサービスのみを使用するようにアプリケーションコントロールを実施して攻撃面を減らすことを検討すべきです。