MENU

DeceptionAds

ほぼこもセキュリティニュース

DeceptionAdsは、名前の示す通り、広告を使ったまやかし形式の脅威です。
サイバーセキュリティの領域で「Deception」という言葉を使うとき、おとりサーバを使って攻撃者をハニーポットに誘い込み脅威アクターの活動情報を収集するというものがあることを想像するかもしれません。
しかし、DeceptionAdsは逆方向で、脅威アクターが利用する機構です。
いくつかの特徴的な要素がありますので、見てみましょう。

  • Monetagの悪用
    MonetagはAIベースのトラフィック収益化プラットフォームです。
    これそのものは悪意あるものではなく、広く利用されているものです。
    トラフィック収益化というと良くないことに感じるかもしれませんが、この種の機構は一般的な攻撃でない用途で広く利用されています。
    DeceptionAdsは、このMonetagを悪用します。
    脅威アクターはMonetagを使用して偽のオファー、ダウンロード、またはサービスを宣伝するポップアップ広告を配信します。
    ターゲットとなるサイトは、海賊版ストリーミングや海賊版ソフトウェアプラットフォームなどです。
    いけないことと感じているかどうかはわかりませんが、こういったサイトは吸引力がありますので、利用者が吸い寄せられます。
    こういった利用者の画面に偽の広告が表示されます。
  • BeMobの悪用
    BeMobは、メディアバイヤーやアフィリエイトマーケッター向けの、クラウドベースで安全なパフォーマンス追跡プラットフォームです。
    これも悪意あるものではなく、広く利用されているものです。
    通常、この機構は追跡のための機構を提供するために利用されるわけですが、DeceptionAdsを利用する脅威アクターは、これを単に隠れ蓑として利用します。
    BeMobでトラッキングされているのかと思ったら、攻撃フローの中での活動を単にわかりにくくするために使用していた、という感じです。
    BeMobそのものは一般的なものであることから、評判情報でセキュリティ製品に防御される可能性を下げることにも繋がっています。
  • CAPTCHAの悪用
    CAPTCHAは、人間とコンピュータを区別するための自動化された公開テストです。
    初めて見たときは、なんだこれは、と思いましたが、いまでは面倒には感じますが疑問には感じないくらいには浸透した感じがします。
    DeceptionAdsはCAPTCHAを悪用します。
    被害者の画面で表示されたCAPTCHAの画面は、指定する操作を行うことで人間であることを示すように促します。
    CAPTCHAは、いろいろなバリエーションのものが存在します。
    そのため、慣れきってしまった利用者は、そのまま指示に従って操作してしまう場合があるかもしれません。
    しかし、このCAPTCHAの内容はひどいものです。
    ショートカットキーで「Run」のウィンドウを表示させ、ショートカットキーでクリップボードの内容を張り付けさせ、エンターキーを押させます。
    攻撃者はCAPTCHAのモジュールを表示する前にクリップボードにPowershellの攻撃コードをこっそりコピーしておいています。
    どうなるでしょうか。
    CAPTCHAの指示に従った人の手元では、攻撃者の用意したPowershellスクリプトが実行されることになります。

こうして閲覧者は被害者へと変化します。
被害者の手元に持ち込まれるのはLumma Stealerです。
Lumma Stealerは、これまでも多く展開されてきたマルウェアです。
Google Chrome、Microsoft Edge、Mozilla Firefox、その他の Chromium ブラウザから Cookie、認証情報、パスワード、クレジットカード、閲覧履歴を盗む高度な情報窃盗マルウェアです。

ちょっと映画を見ようと思っただけ、ちょっと広告をクリックしてみただけ、ちょっとCAPTCHAの操作依頼に従ってみただけ、かもしれません。
しかし、結果として、あなたは被害者となりました。
その映画、本来無償で見ることができるものなのでしょうか。
何かを得るためには何かを代償としなければならない、のかもしれません。
単にうまいだけの話というのはあるのでしょうか。

“DeceptionAds” — Fake Captcha Driving Infostealer Infections and a Glimpse to the Dark Side of Internet Advertising

https://labs.guard.io/deceptionads-fake-captcha-driving-infostealer-infections-and-a-glimpse-to-the-dark-side-of-0c516f4dc0b6

この記事に関連した、過去のほぼこもセキュリティニュース

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。