Chromeの偽アップデートからPCの制御権を奪う新キャンペーンに注意

TrellixはChromeのアップデートを装って、リモートアクセスツール「NetSupport Manager」のインストールに誘導するマルウェアキャンペーンを見つけた。

[後藤大地，有限会社オングス]

　TrellixのAdvanced Research Centerは2023年8月10日（現地時間、以下同）、「Google Chrome」（以下、Chrome）のアップデートを装い、「NetSupport Manager」というリモートアクセスツール（以下、RAT）のインストールに誘導するキャンペーンを検出したと報じた。

Trellixは新たなマルウェア感染キャンペーンについて報じた（出典：TrellixのWebサイト）

正規のリモートアクセスツールを悪用してマルウェア感染を図る

　Trellixの脅威インテリジェンス機関Advanced Research Centerは、2023年6月の後半に偽のChromeアップデートキャンペーンが展開されていることを発見した。

　この攻撃キャンペーンはまず、侵害したWebサイトに専用のJavaScriptを設置するところから始まる。JavaScriptは最終的にユーザーを偽のChromeアップデートのページに誘導し、そこからバッチファイル（.BAT）やVB Script、curlなどを使って「NetSupport Manager」と呼ばれるRATをインストールする。

　NetSupport Manager自体は正規のプログラムであり、このインストールが完了すれば、サイバー攻撃者はセキュリティ回避など不要で、被害者のPCの制御権を乗っ取りリモートからコマンドを実行できるようになる。そのためその後、マルウェアの配布や情報の窃取、ラテラルムーブメントなどが実施される恐れがある。

　Trellixは「以前から確認されている攻撃手法であっても、それらが有効に機能していることが分かれば、脅威アクターは再びその手法を採用する可能性がある」と指摘している。今回発見されたキャンペーンもこれを裏付けており、これまでさまざまなサイバー攻撃で使われてきた偽のWebブラウザアップデートの詐欺手口が積極的に再利用されている。

　脅威アクターはターゲットとなるプラットフォームに最初からインストールされているツールを使用して不要なダウンロードやカスタムコンポーネントの作成を回避し、難読化が容易なテキストベースまたはスクリプトベースのプログラミング言語を使用するなど工夫しているため注意が必要だ。

　NetSupport Managerを悪用するキャンペーンは以前ロシアの脅威アクターが実施していた「SocGholish」キャンペーンとの類似性が指摘されている。しかし使用するツールに違いがあるなどSocGholishとの関連性は決定的なものとは言えないという。