Google広告を通じてユーザーのパスワードを盗み出すMac向けマルウェアが配布されてしまう

通常のオンライン広告に見せかけてユーザーをマルウェア拡散用の不正なウェブサイトに誘導する広告は「マルバタイジング」と呼ばれています。セキュリティ会社のMalwarebytesが2024年6月24日に、ウェブブラウザ「Arc」のmacOS版を装ったマルウェアがGoogle広告で宣伝されていることを発見し、注意を促しています。

'Poseidon' Mac stealer distributed via Google ads | Malwarebytes
https://www.malwarebytes.com/blog/news/2024/06/poseidon-mac-stealer-distributed-via-google-ads

Mac users served info-stealer malware through Google ads | Ars Technica
https://arstechnica.com/security/2024/06/mac-info-stealer-malware-distributed-through-google-ads/

Malwarebytesによると、Google検索に表示される偽のArcの広告は、「Coles & Co」という事業体によって配信されているそうです。

この広告をクリックすると、まるでmacOS版Arcのダウンロードページのようなサイトが開かれます。

DMG形式のファイルをダウンロードすると、「アイコンを右クリックしてメニューを開き、『開く』をクリックしてください」との指示が出されます。海外メディアのArs Technicaによると、この手順は、Appleによる審査を受けた開発者によってデジタル署名されたソフトウェアでない場合、アプリのインストールをブロックするmacOSのセキュリティメカニズムをバイパスする方法とのこと。

画面の指示に従うと、Arcがインストールされることはなく、代わりにマルウェアの「Poseidon」がインストールされてしまいます。なお、Poseidonは「ファイルグラバーや仮想通貨ウォレットエクストラクタ、Bitwarden、KeePassなどのパスワードマネージャーからデータを盗む」などの機能を備えたフルサービスのmacOSスティーラーです。

Malwarebytesは「これらの脅威は現実のもので、悪意のある攻撃者は常に新しい被害者を探しています。これらの脅威から身を守るためには、新しいアプリをダウンロードしてインストールする際に十分に警戒する必要があります」と喚起しました。

なお、Ars Technicaは今回の広告について「Google広告は定期的に悪質なコンテンツを配信しており、削除は第三者からの通報に委ねられています。今回の広告をGoogleは悪意のある広告と認め、ただちに削除し、広告主を一時停止処分にしたとの報告を受けました」と述べています。