サイバーニュース.jp

世界のサイバーなニュースを配信

サイバー犯罪者がFacebookとGoogle広告を悪用し機密データを窃取

カテゴリ:

, , , , , , , , ,

広告プラットフォームを悪用する巧妙なマルバタイジングキャンペーン

サイバー犯罪者たちは、FacebookやGoogle広告、YouTubeといった主要な広告プラットフォームを悪用し、巧妙なマルバタイジング(悪意のある広告)キャンペーンを展開しています。このキャンペーンは、金融プラットフォームのユーザーを標的とし、暗号通貨を窃取するマルウェアを配布することで、機密データの窃取を目的としています。

Bitdefenderの研究者たちは、この脅威を1年以上にわたり追跡しており、当初はFacebook広告を通じて偽のTradingView Premiumの無料提供を謳っていましたが、現在ではGoogleの広告エコシステムや乗っ取られたYouTubeチャンネルにまでその範囲を拡大しています。これにより、コンテンツクリエイターや一般ユーザーが、検証済みアカウントや公式ブランドに対する信頼を悪用され、前例のないリスクに晒されています。

YouTubeチャンネル乗っ取りの手口

特に懸念されるのは、サイバー犯罪者がGoogleの広告主アカウント(ノルウェーのデザイン会社のもの)を乗っ取り、さらに検証済みのYouTubeチャンネルを侵害して、公式のTradingViewプラットフォームになりすましていたことです。この高度ななりすまし戦略には、検出を極めて困難にするいくつかの欺瞞的な要素が含まれていました。

  • 公式ブランド要素の悪用: 侵害されたチャンネルは、同一のロゴ、バナー、視覚的要素を再利用し、TradingViewの正規の存在を模倣するように綿密に設計されていました。
  • 偽のプレイリスト: 攻撃者は、正規のTradingViewチャンネルのプレイリストをミラーリングし、オリジナル動画がないにもかかわらず、活発なコンテンツの錯覚を作り出しました。
  • 検証済みバッジの悪用: ユーザーが通常、信頼性と関連付ける検証済みバッジのステータスを悪用しました。
  • 非公開広告動画: 乗っ取られたチャンネルにはオリジナルコンテンツがなく、登録された視聴回数はわずか96回でした。しかし、非公開の広告動画は有料広告を通じて独占的に表示され、公衆の監視を回避していました。

「Free TradingView Premium – Secret Method They Don’t Want You to Know」と題されたある広告動画は、積極的な広告キャンペーンを通じて、わずか数日で182,000回以上の視聴を獲得しました。動画の説明には、簡素化された取引やパーソナライズされたインジケーターなどの利点を約束するソーシャルエンジニアリング要素が含まれていましたが、その真の目的は、被害者をマルウェアダウンロードに誘導し、フィッシングページを展開して認証情報を窃取することでした。

マルウェアの機能と高度な回避技術

Bitdefenderの技術分析によると、このマルウェアは以前のサンプルと共通の特性を持つものの、初期のダウンローダーは検出と分析に耐えるように特別に構築されたカスタムソリューションです。このマルウェアは、自動および手動分析の両方を著しく複雑にするいくつかの高度な回避技術を採用しています。

  • 巨大なダウンローダー: ダウンローダーは700MBを超え、ほとんどの自動分析プラットフォームでは効果的に処理できないほど巨大です。
  • サンドボックス対策機能: 仮想化環境やサンドボックス環境を積極的にチェックし、動的分析の試みを妨害します。
  • 多段階感染: 初期防御を迂回すると、確立された情報窃取キャンペーンと一致する技術を用いて多段階で感染が進行します。
  • 高度な通信プロトコル: 以前のサンプルが様々なポートでプレーンなHTTPリクエストを使用していたのに対し、現在のマルウェアはポート30000でWebSocketsを介して通信します。
  • 難読化と暗号化: フロントエンドスクリプトは難読化され、AES-CBC暗号化が施されており、調査を大幅に困難にしています。

最終的なペイロードは、CheckPointによってJSCEAL、WithSecureによってWeevilProxyと特定されており、プロキシ機能を通じてすべてのユーザーネットワークトラフィックを傍受し、Cookieやパスワードデータを収集し、キーロギングやスクリーンショットのキャプチャを実行し、暗号通貨ウォレットデータを窃取し、長期的なシステム永続性を確保するなど、高度な機能を示しています。

キャンペーンの規模とインフラ

この悪意のある広告キャンペーンのBitdefenderによる詳細な分析は、その驚くべき範囲と洗練度を明らかにしています。研究者たちは、この悪意のあるインフラに関連する500以上のドメインとサブドメインを特定しており、キャンペーンの広範な到達範囲とリソース投資を示しています。脅威アクターは、Windowsシステムを超えて攻撃を拡大するために、macOSおよびAndroidの新しいサンプルを開発しており、クロスプラットフォーム展開能力を示唆しています。

複数の乗っ取られた、またはなりすまされたチャンネルやページが、プラットフォーム全体で同一のキャンペーンを同時に推進しています。少なくとも数件の盗まれたGoogleアカウントがこれらの操作を促進しているのが観察されています。数千ものFacebookページ(通常、いいねが5件未満で、一般的な名前と画像が特徴)が、悪意のある広告を積極的に配布しています。脅威アクターは、英語、ベトナム語、タイ語など複数の言語で毎日数百もの新しい広告を作成し、ドメインを継続的にローテーションさせ、新しい回避戦略を実装することで、驚くべき運用能力を示しています。

ユーザーと組織への推奨事項

ユーザー向け

  • プレミアム取引ツールの無料アクセスを約束する広告には極度の注意を払い、エンゲージメントの前にチャンネルハンドルと購読者数を確認してください。
  • 非公開の動画は、正当な企業が非公開の広告のみのキャンペーンを運営することは稀であるため、直ちに疑念を抱くべきです。
  • ソフトウェアのダウンロードは、必ず公式ウェブサイトから行い、サードパーティのリンクからは絶対に行わないでください。

コンテンツクリエイターおよびビジネス向け

  • すべてのオンラインアカウントで強力な多要素認証を有効にしてください。
  • アカウント回復オプションを定期的に確認し、チャンネルの役割と権限を監査してください。
  • 突然のブランド変更や予期せぬ動画のアップロードなど、異常なアクティビティがないか監視してください。
  • 包括的なセキュリティソリューションを導入し、進化するなりすましや広告悪用キャンペーンに対する継続的な意識を維持してください。

元記事: https://gbhackers.com/cybercriminals-exploit-facebook-google-ads/

投稿をさらに読み込む