WinSCPとPuTTYの偽インストーラーに注意 検索エンジンの広告経由で感染を狙う：セキュリティニュースアラート

Rapid7は検索エンジン上の悪意ある広告を介してトロイの木馬化されたWinSCPやPuTTYのインストーラーを配布する進行中のキャンペーンを発見した。Windowsユーザーが誤って偽のダウンロードページに誘導される危険性がある。

[後藤大地，有限会社オングス]

　Rapid7は2024年5月16日（現地時間）、検索エンジン上の悪意のある広告を介してトロイの木馬化された「WinSCP」および「PuTTY」のインストーラーを配布するキャンペーンが展開されていることを伝えた。

　検索エンジンでこれらソフトウェアを探している「Windows」ユーザーが狙われており、誤って悪意のある広告をクリックして偽のダウンロードページに誘導されてしまう可能性がある。

検索結果に潜む悪意　WinSCPとPuTTYのトロイの木馬化キャンペーン

　Rapid7によると、2024年3月初旬から始まったとされるこのキャンペーンでは、ファイル転送クライアントのWinSCPおよびSSHクライアントであるPuTTYを使用したいユーザーが標的となっている。

　ユーザーが「Microsoft Bing」などの検索エンジンで「download winscp」や「download putty」といった検索語句を入力すると、検索結果に悪意のある広告が表示される。この広告をクリックすると、WinSCPの場合は公式Webサイトを模倣した偽のWebサイトに、PuTTYの場合は単純なダウンロードページにリダイレクトされる。いずれの場合も、トロイの木馬を含むZIPアーカイブがセカンダリードメインからダウンロードされる仕組みになっている。

　感染はユーザーがZIPアーカイブをダウンロードして展開し、「setup.exe」という名前のファイルを実行すると始まる。悪意のあるダイナミックリンクライブラリー（DLL）である「python311.dll」がロードされ、暗号化された「Python」スクリプトが実行されてしまう。Pythonスクリプトは最終的に被害者のネットワークに侵入するためのペネトレーションテストツール「Sliver C2」をインストールする。実際にSliver C2を使ってデータの窃取やランサムウェアの展開を試みたことが報告されている。

　Rapid7は観測されたキャンペーンで使用されている技術や戦術が、2023年に報告された「BlackCat／ALPHV」キャンペーンをほうふつとさせると指摘している。「Nitrogen」とも呼ばれるこのキャンペーンでは、同様の手法を使ったサイバー攻撃が確認されている。

　このキャンペーンの被害者となる可能性が高いのは主にITチームのメンバーで、正規バージョンを探している際にトロイの木馬化されたファイルをダウンロードしてしまうリスクが高いと考えられている。検索サイトを使用してソフトウェアをダウンロードする場合、ダウンロードする前に必ずソースを確認するとともに実行前に内容を確認することが求められている。