人気のアンチウイルスソフトを偽るマルウェアを配布するサイバー攻撃に注意
2024年5月28日(火)7時31分 マイナビニュース
Trellixは5月23日(米国時間)、「A Catalog of Hazardous AV Sites – A Tale of Malware Hosting」において、人気のアンチウイルスソフトウェアに偽装してマルウェアを配布するサイバー攻撃のキャンペーンについて、注意を喚起した。同社の製品のバイナリに偽装したマルウェアも発見したという。
○アンチウイルスソフトウェアに偽装したマルウェアを検出
Trellixが発見したマルウェアを配布するWebサイトは次のとおり。
avast-securedownload[.]com
bitdefender-app[.]com
malwarebytes[.]pro
これらはセキュリティ企業「Avast Software(avast.com)」、「Bitdefender(bitdefender.com)」、「Malwarebytes(malwarebytes.com)」のWebサイトをコピーした偽サイトで、それぞれ異なるマルウェアを配布するとされる。
Trellixが確認した各偽サイトから配布されたマルウェアは次のとおり。
○avast-securedownload[.]com
Avast Software(avast.com)に偽装した「avast-securedownload[.]com」からは悪意のあるAndroidパッケージ「Avast.apk」が配布される。このパッケージをインストールすると、次の機能を持つ情報窃取マルウェア「Spynote」に感染する。
パッケージのインストールおよび削除
通話履歴、ショートメッセージサービス(SMS: Short Message Service)、連絡先、ファイル、電話状態の窃取
ネットワーク設定、Wi-Fi設定の窃取および変更
音声の窃取
キーガードの無効化
壁紙の変更
スクリーンショットの窃取
ユーザー操作の窃取
コインマイナーの実行
デバイス位置の追跡
○bitdefender-app[.]com
Bitdefender(bitdefender.com)に偽装した「bitdefender-app[.]com」からは悪意のあるZIPファイルが配布される。ZIPファイルにはWindows向けの実行可能ファイル「setup-win-x86-x64.exe」が含まれており、実行すると情報窃取マルウェア「Lumma Stealer」に感染する。
○malwarebytes[.]pro
Malwarebytes(malwarebytes.com)に偽装した「malwarebytes[.]pro」からは悪意のあるRARファイルが配布される。RARファイルには実行可能ファイル「MBSetup.exe」が含まれており、実行すると情報窃取マルウェア「StealC」に感染する。
○Trellixのバイナリに偽装したマルウェア
Trellixはコンテンツの更新に関連した実行可能ファイル「AMCoreDat.exe」に偽装した悪意のあるバイナリーを発見している。このバイナリを実行するとAvast Softwareのアンチウイルスソフトウェアを強制終了し、情報窃取マルウェア「Lumma Stealer」に感染する。
○対策
攻撃者が被害者をこれら偽サイトにどのように誘導したかはわかっていないが、Trellixはこれら攻撃を回避するため、次のような対策を推奨している。
メール、メッセージ、検索結果などのリンクにアクセスする場合は、リンクをクリックする前にリンク先アドレスを確認する
ファイルをダウンロードする前に、アクセスしているWebサイトのURLが正規サイトのドメインか確認する
高度なセキュリティソリューションを導入する
海賊版ソフトウェアは使用しない
ダウンロードしたファイルをアンチウイルスソフトウェアで検証する
また、Trellixはこの件の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
○アンチウイルスソフトウェアに偽装したマルウェアを検出
Trellixが発見したマルウェアを配布するWebサイトは次のとおり。
avast-securedownload[.]com
bitdefender-app[.]com
malwarebytes[.]pro
これらはセキュリティ企業「Avast Software(avast.com)」、「Bitdefender(bitdefender.com)」、「Malwarebytes(malwarebytes.com)」のWebサイトをコピーした偽サイトで、それぞれ異なるマルウェアを配布するとされる。
Trellixが確認した各偽サイトから配布されたマルウェアは次のとおり。
○avast-securedownload[.]com
Avast Software(avast.com)に偽装した「avast-securedownload[.]com」からは悪意のあるAndroidパッケージ「Avast.apk」が配布される。このパッケージをインストールすると、次の機能を持つ情報窃取マルウェア「Spynote」に感染する。
パッケージのインストールおよび削除
通話履歴、ショートメッセージサービス(SMS: Short Message Service)、連絡先、ファイル、電話状態の窃取
ネットワーク設定、Wi-Fi設定の窃取および変更
音声の窃取
キーガードの無効化
壁紙の変更
スクリーンショットの窃取
ユーザー操作の窃取
コインマイナーの実行
デバイス位置の追跡
○bitdefender-app[.]com
Bitdefender(bitdefender.com)に偽装した「bitdefender-app[.]com」からは悪意のあるZIPファイルが配布される。ZIPファイルにはWindows向けの実行可能ファイル「setup-win-x86-x64.exe」が含まれており、実行すると情報窃取マルウェア「Lumma Stealer」に感染する。
○malwarebytes[.]pro
Malwarebytes(malwarebytes.com)に偽装した「malwarebytes[.]pro」からは悪意のあるRARファイルが配布される。RARファイルには実行可能ファイル「MBSetup.exe」が含まれており、実行すると情報窃取マルウェア「StealC」に感染する。
○Trellixのバイナリに偽装したマルウェア
Trellixはコンテンツの更新に関連した実行可能ファイル「AMCoreDat.exe」に偽装した悪意のあるバイナリーを発見している。このバイナリを実行するとAvast Softwareのアンチウイルスソフトウェアを強制終了し、情報窃取マルウェア「Lumma Stealer」に感染する。
○対策
攻撃者が被害者をこれら偽サイトにどのように誘導したかはわかっていないが、Trellixはこれら攻撃を回避するため、次のような対策を推奨している。
メール、メッセージ、検索結果などのリンクにアクセスする場合は、リンクをクリックする前にリンク先アドレスを確認する
ファイルをダウンロードする前に、アクセスしているWebサイトのURLが正規サイトのドメインか確認する
高度なセキュリティソリューションを導入する
海賊版ソフトウェアは使用しない
ダウンロードしたファイルをアンチウイルスソフトウェアで検証する
また、Trellixはこの件の調査の過程で判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
関連記事(外部サイト)
