テキストエディター「Notepad--」に偽装したマルウェアに注意
マイナビニュース2024年3月15日(金)9時31分
Kaspersky Labは3月13日(現地時間)、「Infected text editors load backdoor into macOS|Securelist」において、テキストエディター「Notepad--」に偽装したマルウェアを配布するサイバー攻撃のキャンペーンを発見したとして、注意を喚起した。
○「Notepad--」に偽装するマルウェアの正体
「Notepad--」は「Notepad++」を超えることを目標に開発されているテキストエディター。主に中国のUnity Operating System (Linuxディストリビューション)のユーザー向けに開発されている。
今回、Kaspersky Labは中国の検索サイト「百度(バイドゥ)」の検索結果からマルウェアを配布するWebサイトへのリンクを発見した。リンクは「Notepad++」を検索した場合と「VNote」を検索した場合に表示される。前者は偽の広告が表示されるが、後者は通常の検索結果として上位に表示されるという。
偽の広告のリンクをクリックすると、マルウェアを配布するWebサイトが表示される。このWebサイトは「Notepad--」のダウンロードをうたっているが、画像は「Notepad++」のコピーをそのまま使用している。ダウンロードボタンはWindows、macOS、Linux向けの3つが用意されており、これらのうちmacOSとLinuxだけがマルウェアを含むNotepad--へのリンクとなっている。
VNoteの検索結果のリンクは正規のVNoteサイトを模倣した偽のWebサイトへつながっている。こちらもWindows、macOS、Linux向けのダウンロードボタンが用意されており、マルウェアを含むVNoteへのリンクとなっている。これらマルウェアは同じサーバ上でホストされており、同一の脅威アクターによる攻撃とみられている。
○対策
ダウンロードしたファイルをインストールしようとすると、脅威アクターのサーバからバックドア「Geacon」によく似たマルウェアをダウンロードして実行することになる。Geaconはペネトレーションツール「Cobalt Strike」のBeaconをGo言語で書き直したマルウェアで、「GitHub - darkr4y/geacon: Practice Go programming and implement CobaltStrike's Beacon in Go」にて公開されている。
今回確認された攻撃ではマルバタイジングに加え、検索結果の上位に悪意のあるWebサイトへのリンクが表示される。つまり、検索結果の上位が正規サイトへのリンクとは限らないことを示している。そのため、ソフトウェアのダウンロード時はアクセスしているWebサイトが正規のWebサイトかを必ず確認することが推奨されている。
○「Notepad--」に偽装するマルウェアの正体
「Notepad--」は「Notepad++」を超えることを目標に開発されているテキストエディター。主に中国のUnity Operating System (Linuxディストリビューション)のユーザー向けに開発されている。
今回、Kaspersky Labは中国の検索サイト「百度(バイドゥ)」の検索結果からマルウェアを配布するWebサイトへのリンクを発見した。リンクは「Notepad++」を検索した場合と「VNote」を検索した場合に表示される。前者は偽の広告が表示されるが、後者は通常の検索結果として上位に表示されるという。
偽の広告のリンクをクリックすると、マルウェアを配布するWebサイトが表示される。このWebサイトは「Notepad--」のダウンロードをうたっているが、画像は「Notepad++」のコピーをそのまま使用している。ダウンロードボタンはWindows、macOS、Linux向けの3つが用意されており、これらのうちmacOSとLinuxだけがマルウェアを含むNotepad--へのリンクとなっている。
VNoteの検索結果のリンクは正規のVNoteサイトを模倣した偽のWebサイトへつながっている。こちらもWindows、macOS、Linux向けのダウンロードボタンが用意されており、マルウェアを含むVNoteへのリンクとなっている。これらマルウェアは同じサーバ上でホストされており、同一の脅威アクターによる攻撃とみられている。
○対策
ダウンロードしたファイルをインストールしようとすると、脅威アクターのサーバからバックドア「Geacon」によく似たマルウェアをダウンロードして実行することになる。Geaconはペネトレーションツール「Cobalt Strike」のBeaconをGo言語で書き直したマルウェアで、「GitHub - darkr4y/geacon: Practice Go programming and implement CobaltStrike's Beacon in Go」にて公開されている。
今回確認された攻撃ではマルバタイジングに加え、検索結果の上位に悪意のあるWebサイトへのリンクが表示される。つまり、検索結果の上位が正規サイトへのリンクとは限らないことを示している。そのため、ソフトウェアのダウンロード時はアクセスしているWebサイトが正規のWebサイトかを必ず確認することが推奨されている。
「マルウェア」をもっと詳しく
「マルウェア」のニュース
-
SOHO向けネットワーク機器を標的とするマルウェア「Cuttlefish」に注意5月13日7時52分
-
Mac狙う新たなマルウェア「Cuckoo」発見、右クリックの「開く」に注意5月9日10時5分
-
Androidアプリに悪意あるコードを追加して再配布するマルウェアに注意5月2日8時31分
-
Chromeだと思ったらマルウェアだった、Android狙うサイバー攻撃に注意4月27日9時5分
-
Kaspersky、2023年にデバイスが感染した最多の情報窃取型マルウェアは「Redline」と報告4月25日15時46分
-
【セキュリティレポート】過去3年間の国内セキュリティインシデントを集計2023年のインシデント総数は916件 マルウェア感染を除くすべての項目でインシデントが増加4月22日10時0分
-
Android狙うバンキング型トロイの木馬「SoumniBot」発見、型破りな分析妨害4月22日7時48分
-
Kaspersky、情報窃取型マルウェアによる感染デバイス数を調査、3年間で約7.4倍に4月18日16時46分
-
ウィズセキュア、ロシアの国家ハッカーグループ『Sandworm』と関連する新たなマルウェア『Kapeka』を発見4月18日11時16分
-
新種のバックドアマルウェア「Kapeka」 - 露のサイバー攻撃グループが関与か4月18日10時22分
ITニュースランキング
-
1Googleオフィスに警察、社員50人超を解雇 抗議デモ対応が見せつけた“IT界の巨人”の変貌ぶりとは ITmedia NEWS
-
2“ジョジョ婚”じゃん! 結婚報告の「岸辺露伴」高橋一生&飯豊まりえ、“連名サインの本名”に集まる驚きの声「直筆見て初めて知った」「これが正解」 ねとらぼ
-
3「コカ・コーラ」や「い・ろ・は・す」が10月から値上げへ - ネット「どぉぉぁぁしてだよぉぁぁぁ!」 マイナビニュース
-
4iPhone、iOS17.5にアップデートすると古い写真が復元される可能性 マイナビニュース
-
5大谷翔平の特大“HRボール争い”、場外で“ドタバタ劇”ばりの大混乱に 「ボール取った子の興奮ぶり見るの好き」 ねとらぼ