警戒必須！人気ソフトウェア検索時のマルウェア「Rhadamanthys」配布活動が増加

Rhadamanthysという情報窃取型マルウェアが、悪意のある広告を通じて配布され続けている。このマルウェアは1年以上前に初めて確認され、2023年を通じてソフトウェアダウンロードに関連するマルバタイジングキャンペーンが継続していた。2024年に入っても同様のキャンペーンが続いており、特に秋以降は活動が増加している。最近では、ParsecやFreeCad、WinSCP、Advanced IP Scanner、Slack、Notionなどの人気ソフトウェアを検索するユーザーが標的にされている。攻撃者は、FakeBat、Nitrogen、Hijackloaderなどのペイロードをビジネスユーザーに向けて配布している。

Googleの検索結果で、Notionなどの人気ソフトウェアに関する悪意のある広告が表示されることがある。これらの広告は、公式のロゴやウェブサイトを使用しているため、ユーザーはリンクをクリックすることが多い。しかし、これらの広告は詐欺であり、Google Ads Transparency Centerページで確認できる。最近のキャンペーンでは、初期のドロッパーを介して最終的にRhadamanthysが配布される。

この攻撃キャンペーンで使用されるインフラストラクチャは関連当局に報告されており、MalwarebytesとThreatDownの顧客は、ペイロードと配布サイトに対する保護を受けている。さらに、DNSフィルタリング機能を持つEDR顧客は、広告のルールを有効にすることでオンライン広告を積極的にブロックできる。これにより、組織全体または特定のエリアでマルバタイジングを防ぐことが可能である。

【ニュース解説】

Rhadamanthysという情報窃取型マルウェアが、悪意のある広告、いわゆるマルバタイジングを通じて配布され続けていることが明らかになりました。このマルウェアは1年以上前に初めて確認され、2023年を通じて、そして2024年に入っても、ソフトウェアダウンロードに関連するマルバタイジングキャンペーンが継続している状況です。特に秋以降はその活動が増加しており、ParsecやFreeCad、WinSCP、Advanced IP Scanner、Slack、Notionなどの人気ソフトウェアを検索するユーザーが標的にされています。

攻撃者は、公式のロゴやウェブサイトを模倣した広告をGoogleの検索結果に表示させ、ユーザーを騙してマルウェアをダウンロードさせる手法を用いています。これらの広告は一見正規に見えますが、実際には詐欺であり、Google Ads Transparency Centerページでその詳細を確認することができます。最近のキャンペーンでは、初期のドロッパーを介して最終的にRhadamanthysが配布されています。

このような攻撃キャンペーンによる影響は、特にビジネスユーザーにとって深刻です。Rhadamanthysは、PuTTYやWinSCP、メールプログラムなどのアプリケーションに保存された認証情報を盗み出すことができます。このような情報窃取は、企業のセキュリティ侵害やランサムウェアの展開につながる可能性があります。

対策として、MalwarebytesやThreatDownのようなセキュリティソリューションが、これらのペイロードや配布サイトに対する保護を提供しています。さらに、DNSフィルタリング機能を持つEDR（エンドポイント検出・対応）顧客は、広告のルールを有効にすることでオンライン広告を積極的にブロックし、組織全体または特定のエリアでマルバタイジングを防ぐことが可能です。

このような攻撃キャンペーンの継続は、インターネットユーザー、特にビジネス環境において、セキュリティ意識の向上と適切な対策の重要性を改めて浮き彫りにしています。また、広告プラットフォームのセキュリティ強化や、ユーザーが安全にインターネットを利用できる環境の整備が求められています。

from One year later, Rhadamanthys is still dropped via malvertising.