検索結果上位でも信じるな Notepad++の偽広告でマルウェア感染の事例を確認：セキュリティニュースアラート

Kaspersky Labは「Notepad++」と「VNote」を悪用したマルバタイジングキャンペーンを発見した。検索エンジンの上位にある広告からユーザーを偽のWebサイトに誘導し、マルウェアをインストールさせる。

[後藤大地，有限会社オングス]

　Kaspersky Labは2024年3月13日（現地時間）、テキストエディター「Notepad++」と「VNote」を悪用したマルバタイジングキャンペーンを発見した。

検索結果の上位にあっても安心できない　Notepad++の偽広告に注意

　マルバタイジングは、広告などを使用してユーザーのPCにマルウェアをインストールするサイバー攻撃だ。ユーザーはインターネット検索エンジンの結果の上位に表示される広告を信頼する傾向があり、ここに偽の広告を配置してマルウェアへの感染を促す手法などが使われる。

　Kaspersky Labは、中国で人気の検索エンジン「百度」（バイドゥ）においてマルバタイジングキャンペーンを観測した。百度の検索結果の上位にNotepad++やVNoteの広告が表示されており、これが偽のWebサイトへのリンクになっているという。

　Notepad++の偽のWebページはURLが「vnote.fuwenkeji.cn」となっている他、ページに「Notepad--」という文字列が表示されている。「Notepad--」はNotepad++の類似品で、ここからダウンロードされるパッケージにはNotepad++ではなくNotepad--が含まれているとされている。

　Kaspersky Labは、マルバタイジング経由で「Linux」や「macOS」向けの偽のNotepad--のサンプルを取得できたとし、その主な分析結果として以下の内容を挙げている。

• このアプリケーションは改変されており、サーバからファイルを特定のパスにダウンロードしようとするが、その作業は完了できず、どのようなファイルをダウンロードしようとしていたのかは分からない。ただし、分析の結果として「DPysMac64」のロードにつながる中間ステップである可能性が高いと考えられる
• このアプリケーションはバックドアとして機能することを狙っていた可能性がある。C2サーバと通信してさまざまな操作が実行できるようにすることを想定していたと考えられる

　Kaspersky Labは現在も調査を継続しており、適宜情報をアップデートするとしている。