概要
サイバー犯罪者がGoogle検索広告を悪用し、Appleの公式サイトを模倣した欺瞞的なランディングページを通じてマルウェアを配布しています。
ユーザーが「mac cleaner」を検索すると、Google検索結果の上位に悪意のある広告が表示され、docs.google.comやbusiness.google.comのような信頼できるドメインがランディングページとして表示されます。
しかし、これらの広告をクリックすると、Appleの公式ブランドデザインとナビゲーションメニュー、インターフェース要素を模倣したGoogle Apps Scriptマクロページにリダイレクトされます。
セキュリティ研究者らは、ディスククリーンアップユーティリティを探しているmacOSユーザーを標的とした**巧妙なキャンペーン**を確認しました。広告はユーザーをリモートコード実行ペイロードをホストする悪意のあるGoogle Apps Scriptページに誘導します。
これらのページには、ストレージの確認やディスク容量の解放を促す欺瞞的な指示が含まれており、一般的なメンテナンス作業に見せかけることでユーザーを安心させています。
技術分析
このマルウェアは、その真の目的を隠すために複数の難読化技術を使用しています。
最初の亜種は「Cleaning macOS Storage…」というソーシャルエンジニアリングメッセージから始まる一連のコマンドを使用し、その後に隠されたBase64エンコードされたコマンドが続きます。
このシーケンスはbase64 -Dを使用して隠された文字列をデコードし、判読不能なデータを実行可能なシェルコマンドに変換します。
「Installing packages please wait…」のような欺瞞的なメッセージは、マルウェアがリモートで実行されている間、正規のシステムメンテナンスであるかのような錯覚を作り出します。
2番目のペイロード亜種は、より直接的なアプローチを採用し、/bin/bash -cを使用して引数として渡されたコマンドを実行します。
コマンド置換 $(...) は隠された指示を実行し、echo | base64 -d は攻撃者制御サーバーからcurl -fsSLコマンドで取得される難読化されたURLをデコードします。
この手法は、サイレントフラグを使用することでユーザーの視認性を回避し、システムからのフィードバックなしにリモートスクリプトをダウンロードして即座に実行します。
どちらのペイロードも、感染したシステムに対する攻撃者の完全な制御を許可する**リモートコード実行(RCE)の脆弱性**を表しています。
一度実行されると、スクリプトはマルウェアのインストール、SSHキーの盗難、永続的なバックドアの追加、仮想通貨マイナーの展開、機密ファイルの窃取、または重要なシステム設定の変更を行う可能性があります。
サイレント実行フラグのため、ユーザーは侵害に気づかないでしょう。
侵害された広告アカウント
調査の結果、このキャンペーンの背後にあるGoogle広告アカウントが**侵害されている可能性**があることが明らかになりました。
同様に、Aloha Shirt Shopからの広告も同じプラットフォームを通じて正当なコンテンツと疑わしいコンテンツが混在して表示されており、アカウント所有者による意図的な悪意のあるキャンペーンではなく、**認証情報の侵害**を示唆しています。
このパターンは、攻撃者が認証情報の窃盗、アカウントの乗っ取り、またはその他の不正な手段を通じて、正当で検証済みのGoogle広告アカウントへのアクセスを取得した可能性が高いことを示しています。
既存のアカウントを使用することで、脅威アクターは初期の検証チェックを回避し、信頼されている広告チャネルを通じてマルウェアを即座に配布することができます。
研究者らはこれらの悪意のある広告をGoogleに報告し、削除と調査を求めています。
ユーザーへの注意喚起
ユーザーは、特にシステムメンテナンスユーティリティに関するスポンサー付き検索結果をクリックする際に**注意を払うべき**です。
クリーンアップの指示を実行する前に、**Appleの公式チャネルを通じた検証が不可欠**です。
正当なmacOSのメンテナンスには、Appleの公式サポートドキュメントを参照するか、検証済みの信頼できるシステムユーティリティを使用してください。