2023年9月15日 / 最終更新日 : 2023年9月15日 Kazuo_Komoriya ほぼこもセキュリティニュース

トラッキングテンプレートによる隠ぺい

ほぼこもセキュリティニュース By Terilogy Worx

トラッキングテンプレートというと耳慣れない人が多いかもしれません。
トラッキングテンプレートは、Google広告の動作する際などに使用されます。
トラッキング テンプレートにはURLのトラッキング情報を配置します。
そしてURLパラメータを使用して、トラッキングURLまたは最終ページURLをカスタマイズします。
もともとは、広告をクリックしたユーザーの属性を判定するなどし、ランディングページに到達する前または後に、異なるドメインのウェブサイトを経由して移動するように使われます。
この機構により、広告主がそのユーザーを適した誘導先に連れていくことができるように用意された機構です。
企業の広告をGoogle広告に掲載する際に、利用される手法の一つです。

この手法を脅威アクターが悪用している例が確認されています。
こんな風に動きます。

  • WebExをWeb閲覧者がGoogleで検索する
    検索すると多くの関連記事が検索結果として表示されます。
    検索結果の上位の方には、各種Google広告が表示されます。
    本家のものもありますし、販売会社のものもあります。
    普通は広告はそういったものだけになるでしょう。
  • 「https://www.webex.com/」とURLが記載されているGoogle広告が結果の一つに表示される
    これは本家のURLです。
    Google広告の画面を構成する文字列にも、URLの部分の文字列にも、怪しいところはありません。
    表示されるロゴも本家のものと同じです。
  • Web閲覧者がGoogleの検索結果に表示されたWebExの広告をクリックする
    偽物のように感じる部分は、見た目上どこにもありません。
    WebExを検索していた人は、迷いなくこれをそのままクリックしてしまうことがありそうです。
  • トラッキングテンプレートの動作開始
    クリックされると、そのGoogle広告に設定されたトラッキングテンプレートの処理が始まります。
    トラッキングテンプレートに設定された最終URLはもちろん本来あるべきURLであるところの本家のWexExのURLになっています。
    しかし、トラッキングテンプレートの置き場所は必ずしも最終URLと同じである必要はありません。
  • トラッキングテンプレートの処理
    トラッキングテンプレートのなかの機構で、クリックしたWeb閲覧者の属性確認が行われます。
    研究者などが利用するサンドボックスからの閲覧であることが判定されると、トラッキングテンプレートは本家サイトに誘導する動きを実行します。
    しかし、Web閲覧者が一般のWeb利用者であると判定されると、トラッキングテンプレートは訪問先を本家ではないところに誘導します。
    今回の例の場合はこの本家でないサイトのURLは「https://webexadvertisingoffer[.]com」でした。
  • 本家でない訪問先の中身
    この本家でないサイトも、アイコン画像や表示文字など、本家とそっくり同じもので構成されています。
    そして表示されているのはWebExのダウンロードのためのコンテンツです。
    本家と同じような形式で、Windows向け、iOS向け、Android向け、など各種環境用のダウンロードのリンクが用意されています。
    このリンク先は、マルウェアです。
    含まれているマルウェアはBatLoaderでした。
  • マルウェアの含まれるファイルの妥当性
    ファイルにはマルウェアが含まれていますので、妥当であるはずがありません。
    しかし妥当でないことがわかるようになっていませんでした。
    ダウンロードしたファイルをVirusTotalで検査すると1件も脅威の検出が行われなかったのです。
    理由は簡単でした。
    ダウンロードされたファイルは多くのサンドボックスのサイズ制限を超えており、ウイルス対策製品による検出をバイパスするように設計されていたのです。

こんなことになっていました。
セキュリティを意識している人は普段からクリックする前にそのクリックしようとしているURLが本家のものであるのかを確認してからクリックするように意識している人が多いように思います。
しかし、この攻撃キャンペーンのように構成された場合、それだけでは十分ではありません。
最終的に表示されたページのURLが本家のものであるかどうかも注意して確認する必要があるということになります。

加えて、Webブラウザに表示されるURLを詐称する技法はいくつもありますので、URLの表示部分とコンテンツの表示部分が同一であるのかを確認することが容易ではない場合があるのも、厳しい現実です。
厳しいですが、こういった悪意ある手法もあるのだということを知ったうえで、日々Webを利用していくということで対応していくことになりそうです。

参考記事(外部リンク):PSA: Ongoing Webex malvertising campaign drops BatLoader
www.malwarebytes.com/blog/threat-intelligence/2023/09/ongoing-webex-malvertising-drops-batloader

カテゴリー
ほぼこもセキュリティニュース
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

前の記事

3AM Ransomware
2023年9月14日
ほぼこもセキュリティニュース
ほぼこもセキュリティNews②

次の記事

SprySOCKS
2023年9月19日