Google Authenticatorは、Googleが開発した二段階認証を行うトークンソフトウェアです。
このソフトウェアは、Googleログイン時の二段階認証に必要な6桁の数字コードを生成します。
これを利用することで、より安全にシステムを利用することができるようになるというものです。
LastPassやDropboxといった他社製のアプリケーションの二段階認証にも対応していますので、これを利用している人も少なくないでしょう。
このGoogle Authenticatorの偽物が確認されています。
- Google検索する
新たにGoogle Authenticatorを利用したいと思った人がいたとします。
その人は最初にどのような行動をとるでしょうか。
もちろん、それは人によると思いますが、まずはGoogleで検索するという人は一定数いるでしょう。
検索すると、Google Authenticatorの情報が多数、検索結果として表示されます。 - Google検索結果
検索結果の表示には、通常のWebコンテンツもありますし、Google広告として登録されたコンテンツもあります。
これらが混ざって結果として表示されます。
今回の事例では、このGoogle広告の一つとして表示されたものに問題がありました。
見た目上は「google.com」という人が「https://www.google.com」のURLで出している広告で、題名がGoogle Authenticatorである記事となっています。
実際にそのリンクを開いてみると、本物に見えるコンテンツを見ることになります。
これを見て、偽物と感じることは容易ではないと思います。
この広告の主はGoogleとは関係のない人でした。
ちなみに、コンテンツが表示されるまでに、攻撃者が管理する中間ドメインを経由したリダイレクトが何度も行われます。 - 誘導先の偽サイト
リダイレクトの結果たどりついた先は、Authenticatorの配布サイトに見える偽サイトです。
URLはchromeweb-authenticators[.]comとなっています。
探していたAuthenticatorがブラウザのエクステンションだったとすると、URL部分を見たとしても、違和感は感じないかもしれません。
しかし、このドメイン名はつい最近登録されたものです。
この脅威活動のために用意されたものなのでした。 - Authenticatorのダウンロード
偽サイトには、Authenticatorのダウンロードができるように設定されたダウンロードボタンが配置されています。
このボタンの先に進むと、GitHubからAuthenticator.exeがダウンロードされます。
GitHubからGoogleのツールをダウンロードするというのには違和感を感じます。
そのダウンロード先のGitHubのリポジトリを見てみましょう。
GitHubの「authe-gogle」というユーザの「authgg」というリポジトリに置かれたexeファイルだったことが分かります。 - Authenticator.exeのデジタル署名
Authenticator.exeはデジタル署名されているので、インストール時にデジタル署名がないことに起因する警告は表示されません。
しかし、Authenticator.exeにデジタル署名したのはGoogleではありません。
今回のAuthenticator.exeにデジタル書影したのは「Songyuan Meiying Electronic Products Co., Ltd. 」でした。 - DeerStealer
このAuthenticator.exeを実行すると、DeerStealerが設置されます。
DeerStealerは、名前が示す通り、インフォスティーラー型マルウェアです。
安全なシステム利用を考えた人が誘い込まれて被害にあうという図式になっている事例です。
悲しいことです。
脅威活動とわかったうえで内容を確認すると、随所に疑わしい部分があることはわかるのですが、自分がこの流れで探しているツールを入手しようとしていることを想像すると、果たして問題に気が付くことができるか疑問です。
よく練られた脅威活動が増えてきているということを感じます。
Threat actor impersonates Google via fake ad for Authenticator
https://www.malwarebytes.com/blog/news/2024/07/threat-actor-impersonates-google-via-fake-ad-for-authenticator
| この記事をシェア |
|
|---|
