Google広告からWinSCPとPuttyの偽サイトを通じてマルウェアに感染させる攻撃が観測されています。
WinSCPとは、SFTP クライアントと FTP クライアント、Putty は SSH クライアントのアプリケーションであり、Windows管理者が使用することが多いためこのアプリケーションが狙われたんだと推測します。
攻撃者は、偽サイトからZipファイルをダウンロードさせ、DLLサイドローディングを通じて悪意あるPythonスクリプトが実行させます。そのスクリプトを通じて、Sliver、Cobalt Strikeなどのハッキングツールと暗号化マルウェア等をダウンロードします。
上記の観察した関連技術、戦術、および手順 (TTP) は、 トレンドマイクロが昨年報告した過去のBlackCat/ALPHVキャンペーンを彷彿とさせます。
検索エンジンの汚染による攻撃には、引き続き警戒が必要です。ブックマークからアクセスする、URLフィルタリングを導入するなどの対策が必要になります。
国内では、Facebookの広告で有名人の詐欺広告が話題になりました。meta社への訴訟もニュースになっていたので、プラットフォーム側の責任が問われることになりそうです。
