セキュリティ研究者は最近、SEO中毒を使用して、潜在的な被害者をだましてBATLOADERマルウェアをダウンロードさせる悪意のあるキャンペーンを発見しました。. 攻撃者は、人気のあるソフトウェア製品のキーワードが満載の悪意のあるサイトを作成しました, 検索エンジン最適化ポイズニングを使用して、検索結果の上位に表示されるようにしました. Mandiantの研究者は、mshta.exeに依存する巧妙な回避手法も観察しました。, これは、MicrosoftHTMLアプリケーションファイルを実行するために設計されたWindowsネイティブのユーティリティです。 (HTA).
分散したユーザーに感染するためにSEO中毒を使用するマルウェアの別の最近の例 有名なアライグマのinfostealer. このキャンペーンには、Googleの結果で上位にランクされた検索エンジン最適化された悪意のあるサイトが含まれていました. ハッカーはまた、ウェアに関するビデオを使ってYouTubeチャンネルでこれらのトリックを使用しました, または海賊版ソフトウェア.
SEO中毒はBATLOADERマルウェアを配信します
現在のBATLOADERマルウェアキャンペーンについて, ハッカーは、SEOキーワードとして「無料の生産性アプリのインストール」または「無料のソフトウェア開発ツールのインストール」を利用して、被害者をだまして侵害されたWebサイトにアクセスさせ、悪意のあるインストーラーをダウンロードさせました。, マルウェアにバンドルされている正規のソフトウェアが含まれている. BATLOADERマルウェアは、ソフトウェアのインストールプロセス中にドロップされ、実行されることに注意してください。.
マンディアントの報告によると, 「この最初のBATLOADERの侵害は、攻撃者に標的組織内の足がかりを提供する多段階の感染チェーンの始まりでした。」攻撃者は、PowerShellなどの正規のツールも使用していました, Msiexec.exe, およびMshta.exeは、セキュリティベンダーによる検出を回避します.
攻撃の要素の1つは似ています CVE-2020-1599エクスプロイト, 昨年報告されたGoogleChromeの重大なバグ:
攻撃チェーンで見つかった注目すべきサンプルの1つは、, 「appResolver.dll」. このDLLサンプルは、Microsoftによって開発されたMicrosoftWindowsオペレーティングシステムの内部コンポーネントです。, しかし、コード署名が有効なままであるように、悪意のあるVBScriptが内部に埋め込まれています. DLLサンプルは、単独で実行するとVBScriptを実行しません. ただし、Mshta.exeで実行すると, Mshta.exeは問題なくVBScriptを見つけて実行します.
この問題はCVE-2020-1599に最もよく似ています, PE Authenticode署名は、ソフトウェア開発者によって署名されたHTAサポートスクリプトを追加した後も有効です。. これらのPE+HTAポリグロット (.htaファイル) Mshta.exeを介して悪用され、ファイルが信頼できるかどうかを判断するためにMicrosoftWindowsコード署名に依存するセキュリティソリューションをバイパスできます。. この問題はCVE-2020-1599としてパッチされました.
用途の広い感染チェーンについて詳しくは、 元のレポート.