Google広告を通じてユーザーのパスワードを盗み出すMac向けマルウェアが配布されてしまう
通常のオンライン広告に見せかけてユーザーをマルウェア拡散用の不正なウェブサイトに誘導する広告は「マルバタイジング」と呼ばれています。セキュリティ会社のMalwarebytesが2024年6月24日に、ウェブブラウザ「Arc」のmacOS版を装ったマルウェアがGoogle広告で宣伝されていることを発見し、注意を促しています。
'Poseidon' Mac stealer distributed via Google ads | Malwarebytes
https://www.malwarebytes.com/blog/news/2024/06/poseidon-mac-stealer-distributed-via-google-ads
Mac users served info-stealer malware through Google ads | Ars Technica
https://arstechnica.com/security/2024/06/mac-info-stealer-malware-distributed-through-google-ads/
Malwarebytesによると、Google検索に表示される偽のArcの広告は、「Coles & Co」という事業体によって配信されているそうです。
この広告をクリックすると、まるでmacOS版Arcのダウンロードページのようなサイトが開かれます。
DMG形式のファイルをダウンロードすると、「アイコンを右クリックしてメニューを開き、『開く』をクリックしてください」との指示が出されます。海外メディアのArs Technicaによると、この手順は、Appleによる審査を受けた開発者によってデジタル署名されたソフトウェアでない場合、アプリのインストールをブロックするmacOSのセキュリティメカニズムをバイパスする方法とのこと。
画面の指示に従うと、Arcがインストールされることはなく、代わりにマルウェアの「Poseidon」がインストールされてしまいます。なお、Poseidonは「ファイルグラバーや仮想通貨ウォレットエクストラクタ、Bitwarden、KeePassなどのパスワードマネージャーからデータを盗む」などの機能を備えたフルサービスのmacOSスティーラーです。
Malwarebytesは「これらの脅威は現実のもので、悪意のある攻撃者は常に新しい被害者を探しています。これらの脅威から身を守るためには、新しいアプリをダウンロードしてインストールする際に十分に警戒する必要があります」と喚起しました。
なお、Ars Technicaは今回の広告について「Google広告は定期的に悪質なコンテンツを配信しており、削除は第三者からの通報に委ねられています。今回の広告をGoogleは悪意のある広告と認め、ただちに削除し、広告主を一時停止処分にしたとの報告を受けました」と述べています。
・関連記事
Google検索結果にMicrosoft TeamsやOBSなど有名ソフトに偽装しマルウェアを拡散する広告が表示される事例が急増 - GIGAZINE
Google広告は不適切なサイトや制裁対象の企業にも表示されていると指摘する調査結果、Googleは誤ったレポートだと反論 - GIGAZINE
画像生成ソフトウェア「ComfyUI」のノードにキーロガーが仕込まれていたことが発覚、クレジットカード情報やパスワードなど全ての入力が筒抜けに - GIGAZINE
わざとシステムを攻撃させて攻撃手法を観測する「ハニーポット」を30日間設置した結果をセキュリティエンジニアが公開 - GIGAZINE
Chromeウェブストアの拡張機能が原因でマルウェアに感染しているユーザーは数億人に上ることが判明 - GIGAZINE
Google PlayとApp Storeから1300万回以上ダウンロードされた計89個のアプリが広告詐欺に関係していることが発覚 - GIGAZINE
・関連コンテンツ