まさにその通りです。マルバタイジングキャンペーンがGoogle検索上で広告を展開しており、広く利用されている正規のシステム情報ツール「CPU-Z」を装っています。この欺瞞的なキャンペーンはGoogle検索経由で広告を展開し、ユーザーを騙してRedline情報窃取マルウェアを含むCPU-Zのバージョンをダウンロードさせようとしています。一部のユーザーはブラウザ保護アプリやウイルス対策アプリを利用しており、通常はこれを検出できるはずですが、インストーラーはデジタル署名されているにもかかわらず、悪意のあるPowerShellスクリプトが含まれているため、検出を回避しています。
そのようなウェブサイトが1つ作成され、このキャンペーンは11月2日から所有者がウェブサイトを停止するまで実行されました。当時のWHOIS情報によると、ドメイン名はNamecheapのもので、ウェブサイトのサーバーはPQ Hostingがホストしています。また、WHOIS情報によると、本稿執筆時点では1日前に更新されているため、ウェブサイトの所有者がウェブサイトのホスティングサーバーを変更し、無効化した可能性があります。
CPU-Z がユーザーの間で信頼され、よく知られていることを利用した攻撃は目新しいものではなく、2021 年頃からその痕跡が残っています。中には、CPU-Z インストーラーを提供すると主張して、最初にダウンローダーとしてダウンロードしてインストールするだけのものもありました。
Googleは広告を異なるフォント色で強調表示したり、オーガニック検索結果と区別する目立つ境界線を表示したりしないため、誰でも騙されやすいです。バナー広告は分かりやすいですが、リンク付きの単語ベースの広告は簡単に悪用される可能性があります。残りはウェブサイトのデザイン次第です(報告されたドメイン名の1つを見ると、URL名はこれに騙されるユーザーの一部にとって重要ではないようです)。特定のキーワードと位置情報をターゲットにした悪質なキャンペーンを実行する人々は、ウェブサイト違反として報告される前に多くのユーザーに感染させています。
Notepad++を使った類似キャンペーン
このマルウェア攻撃キャンペーンは、2021年にまで遡るNotepad++で見られたキャンペーンに似ています。Notepad++ユーザーの中には、検索結果の上に表示される広告から知らずにアプリをダウンロードし、同じ手法でシステムを悪用した人もいました。
情報筋によると、RedLine Stealerは2020年3月に発見されたマルウェアです。また、2021年7月1日にはプライバシーツールを装っていることも発見されました。
Googleはそのようなウェブサイトに対するポリシーを定めていますが、ウェブサイトとダウンロード可能なコンテンツに悪意のあるソフトウェアが含まれていないかGoogleがチェックしたとしても、広告が承認された後にダウンロード可能なコンテンツを変更することは難しくありません。これは、広告ネットワークとホスティング会社が解決すべき課題です。
安価にウェブサイトを立ち上げるのは簡単ですし、ウェブレジストラやホスティング会社に偽の登録情報を提供するのも手間がかかりません。一部のホスティング会社が暗号通貨に対応しているため、クレジットカード情報を使って本物の情報を提供する手間を省いたり、クレジットカード情報に基づいてユーザーをブラックリストに登録したりすることも容易です。
これが収益性の高い事業になり得ることを考えると、Notepad++やCPU-Zといった有名アプリに対して同様のキャンペーンが展開されているのも不思議ではありません。Googleがさらなる安全策を講じるか、少なくともGoogle検索結果で単語ベースの広告を明確に強調表示するまでは、ユーザーはリンクの上にある「スポンサー広告」の文言に注意し、広告と検索結果に表示されるウェブサイト名に注意を払う必要があるでしょう。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
いつものように、セキュリティアプリからの警告を無視しないようにしましょう。誤検知の可能性もあるからです。今のところは、まずは危険な兆候を見抜く目を持つことが重要です。
Roshan Ashraf Shaikhは2000年代初頭からインドのPCハードウェアコミュニティに携わり、PCの組み立て、インドの多くの技術フォーラムやブログへの寄稿に携わってきました。Hardware BBQを11年間運営し、eTeknixとTweakTownでニュース記事を執筆した後、Tom's Hardwareチームに加わりました。テクノロジー以外にも、格闘ゲーム、映画、アニメ、機械式時計に興味を持っています。
