概要
高度なマルバタイジングキャンペーン「TamperedChef」が、Google広告を悪用して不正なPDF編集ソフトウェアを配布し、19カ国にわたる100以上の組織に被害をもたらしました。Sophos Managed Detection and Response (MDR) チームは、2025年9月にこの攻撃を検知。この多層的な攻撃インフラは、ブラウザの認証情報を窃取し、Windowsシステムへの持続的なバックドアアクセスを確立することを目的としていました。
このキャンペーンは、より広範な「EvilAI」作戦に関連付けられており、2025年6月に脅威アクターが「AppSuite PDF Editor」というトロイの木馬化されたアプリケーションを宣伝する偽のドメインを多数登録したことから始まりました。攻撃者は、ManualsLibのような正規のサイトや検索エンジン最適化(SEO)戦術を悪用した悪意のある広告を利用し、製品マニュアルやPDF編集ツールを検索しているユーザーを誘い込み、感染したインストーラーをダウンロードさせました。
攻撃の詳細
マルウェアは、約56日間の休眠期間を経て、2025年8月21日に認証情報窃取機能をアクティブ化しました。Sophos MDRアナリストの調査によると、最も被害が大きかったのはドイツで全体の15%、次いで英国が14%、フランスが9%でした。このキャンペーンは、特に特殊な技術機器に依存する産業を標的とし、アプライアンスのマニュアルやドキュメントをオンラインで頻繁に検索するユーザーを狙っていました。
対策が開始される前に、影響を受けた組織全体で300以上のシステムが侵害されたことがセキュリティテレメトリーによって確認されています。
マルバタイジングの手口
TamperedChef作戦は、広告キャンペーンの一般的な期間に合わせて56日間の休眠期間を設けることで、高度な回避戦術を示しました。この遅延により、脅威アクターは悪意のある動作をトリガーする前に感染を最大化し、検出を著しく困難にしました。
スポンサー検索結果をクリックしたユーザーは、fullpdf[.]comやpdftraining[.]comなどの不正なドメインにリダイレクトされ、そこで「Appsuite PDF .msi」インストーラーがホストされていました。実行されると、インストーラーは「PDFEditorSetup.exe」を展開し、レジストリ変更やスケジュールされたタスクを通じて持続性を確立しました。マルウェアには、研究者によってAI生成の可能性が指摘されている高度に難読化されたJavaScriptファイル(pdfeditor.js)が含まれており、署名ベースのアンチウイルス検出を回避する独自の亜種を作成していました。
マルウェアの機能と展開
主要なペイロードである「PDF Editor.exe」は、正当なPDF編集ツールとして機能すると同時に、ブラウザに保存された認証情報を標的とする隠れた情報窃取機能も備えていました。データ窃取操作を実行する前に、マルウェアはBitdefender、CheckPoint、Fortinet、G DATA、Kaspersky、Zillyaなどのインストールされているセキュリティ製品をレジストリクエリを通じて列挙しました。
また、アクティブなブラウザプロセスを終了させ、Windows Data Protection API(DPAPI)を利用して、Google Chrome、Microsoft Edge、およびその他のブラウザから保存された認証情報、クッキー、オートフィルデータを抽出しました。BingクリックURLには追跡およびリダイレクトパラメータが含まれており、ユーザーが検索エンジン結果または広告リダイレクトを介してManualsLibページに到達したことを示しています。
このキャンペーンでは、「ManualFinderApp.exe」という二次ペイロードも展開されました。これは、mka3e8[.]comおよびportal[.]manualfinder[.]appドメインとのコマンド&コントロール通信を確立し、侵害されたシステムからのリモートコード実行と継続的なデータ流出を可能にしました。
脅威アクターは、ECHO Infini SDN. BHD、GLINT by J SDN. BHD、SUMMIT NEXUS Holdings LLCなどのマレーシアおよび米国に登録されたエンティティから不正なコード署名証明書を入手していました。これらの証明書により、悪意のあるインストーラーはWindows SmartScreen保護を回避し、ユーザーには正規のものと認識されていました。いくつかの証明書はすでに失効していますが、既存のインストールは依然として機能しており、攻撃者は新しい署名資格情報を取得して活動を継続する可能性があります。
対策
Sophosは、Mal/Isher-Gen、JS/Agent-BLMN、Troj/EvilAI-H、OneStart.aiなどの検出シグネチャを含む、TamperedChefの亜種に対する複数の保護を展開しています。組織は、影響を受けたシステム上のすべてのブラウザに保存された認証情報が侵害されたとみなし、企業アカウント全体で直ちにパスワードをリセットする必要があります。
セキュリティチームは、TamperedChef活動の指標として、ユーザープロファイルディレクトリから実行される疑わしいスケジュールされたタスクや、CurrentVersion\Runキー下のレジストリ変更を監視する必要があります。