ブラウザをアップデートするとマルウェアが設置される 偽のブラウザアップデート 脅威が増加

セキュリティを維持する方法として「PCの運営体制およびプログラムのアップデート」は欠かせない項目です。それはアップデートの項目に含まれているセキュリティパッチを適用するためであり、新型のウイルスにワクチンを接種することと同じ脈です。しかし、最近アップデートをするふりをしてユーザーをだまし、マルウェアを配布するという 偽のブラウザアップデート のサイバー脅威が発生しています。

Proofpointのサイバー脅威チームの研究結果、 偽のブラウザアップデートを利用するサイバー脅威が増加したことが明らかになりました。「TA569」という攻撃グループが5年以上 偽のブラウザアップデート を利用して「SocGholish」というマルウェアを配布してきたのです。最近、他の脅威アクターも類似な手法を適用していることが発見されました。

Proofpointはマルウェアの配布を狙った 偽のブラウザアップデート を利用したサイバー脅威クラスターを4種以上追跡していると言いました。その中で攻撃グループのTA569は5年以上のあいだ 偽のブラウザアップデート を利用してSocGholishマルウェアを配布してきましたが、最近は他の脅威アクターも類似な手法を適用する動きが補足されました。

各脅威のアクターはそれぞれ自体の方法で誘引策とペイロードを伝達しますが、画面のテーマは同一な社会工学的な手法に基づくのが確認されました。 偽のブラウザアップデート を管理する脅威のアクターはJavaScriptまたはHTMLコードを使用しました。管理中のドメインでトラフィックを移動させ、それを通じて被害者が使用するウェブブラウザにもっともらしいブラウザアップデートのウェブサイトに上書きします。その後、悪性のペイロードが自動でダウンロードされます。または、ユーザーが「ブラウザアップデートをダウンロード」を呼びかけるポップアップメッセージを受信すると同時にペイロードが伝達される式です。

Proofpointは、ペイロードを含めて多様なマルウェアを配布する目的で 偽のブラウザアップデート を利用したサイバー脅威が急増した事実を把握しました。TA569はセキュリティが脆弱なウェブサイトに侵入し、 偽のブラウザアップデート がマルウェア配布の効果的な手法であることを確認しました。それを学習した新たなアクターが自分の方法に応用し、この手法を悪用し始めたという結論に至ります。

そのような類似手法として情報盗用のツールとリモートアクセスツール（RAT）等を使用している可能性が定期されます。もしくは簡単にランサムウェアのイニシャルアクセスブローカーへ方向を変えることもできます。最善の対策は「深層防御」だとProofpointは言いました。各企業の組織はEmerging Threats Rulesetなどのネットワーク検知体系を導入し、エンドポイント防御を活用すべきだと説明しました。加えて、ユーザー教育を通じて侵害の活動を把握して疑わしい場合、セキュリティチームに申告すべきだと言いました。

Proofpointのサイバー脅威研究チームは「 偽のブラウザアップデート はデータの盗用とコンピューターリモート制御、ランサムウェアまでの数多いマルウェアに活用されてきたと知られている。攻撃者が考案した手法と社会工学を巧妙に結合した攻撃方式であり、情報セキュリティに対する人間の欲望を利用し、無辜の被害者を生んでいる」と懸念を示しました。