概要
セキュリティ研究者らは、2025年10月から活動しているSEO汚染キャンペーンについて報告しました。このキャンペーンでは、ユーザーが検索エンジンで人気のアプリケーションを求めてクリックした際に、偽のダウンロードサイトに誘導され、AsyncRATリモートアクセストロイア(RAT)を含む悪意のあるインストーラーを配布しています。
キャンペーンの詳細
このSEO汚染キャンペーンは、ユーザーが人気アプリケーションを検索した際に偽のダウンロードサイトに誘導し、AsyncRATを含む悪意のあるインストーラーを配布しています。具体的には、VLCメディアプレイヤーやOBSスタジオなどの25以上の人気アプリケーションに対して偽のダウンロードポータルを作成し、ユーザーがこれらのサイトに誘導されるようにしています。
攻撃チェーン
ユーザーが「VLCダウンロード」などと検索した際に、悪意のある結果をクリックすると、偽のドメイン(例:vlc-media[.]com)に誘導されます。このサイトでは、ファイル取得用のバックエンドホストからZIPアーカイブを取得し、その中に正当なインストーラーと悪意のあるDLLやプラグインが含まれています。
AsyncRATの配布
ユーザーがダウンロードしたファイルを実行すると、Windowsは悪意のあるDLLをサイドロードし、ScreenConnectという正当なリモート管理製品をインストールします。ScreenConnectは、攻撃者が非対話型アクセスを可能にするように設定され、システムメタデータにMicrosoft Visual C++再配布可能な形式で偽装されます。
検出と防御
- ScreenConnectのインストール:予期しないScreenConnectのインストールや新しいカスタムURLハンドラー(例:sc-0af00d55fb53c6e6://)は、潜在的な侵害の兆候として扱うべきです。
- ネットワーク監視:既知の誘導ドメインや配布バックエンドホストへのアクセスを監視し、AsyncRATコマンド&コントロール(C2)サーバーも注意深くチェックします。
- ユーザー教育:公式サイトからのダウンロードを確認し、ソフトウェアインストール中に突然の権限昇格要求には警戒するようユーザーに教えることが重要です。