代表的な偽アップデートマルウェア配信フレームワーク「SocGholish」分析 | ScanNetSecurity
2024.07.19(金)

代表的な偽アップデートマルウェア配信フレームワーク「SocGholish」分析

 デジタルアーツ株式会社は11月14日、偽アップデートの代表的マルウェア配信フレームワーク「SocGholish」の分析レポートを公表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
偽アップデート URL件数
偽アップデート URL件数 全 2 枚 拡大写真

 デジタルアーツ株式会社は11月14日、偽アップデートの代表的マルウェア配信フレームワーク「SocGholish」の分析レポートを公表した。

 偽アップデート(Fake Update)は、偽のアップデートページを表示してアクセスしたユーザーにマルウェアをダウンロードさせる攻撃で、いくつか異なるパターンがあり、2023年には「SocGholish」、「ClearFake」、「SmartApeSG(ZPHP)」「FakeSG(RogueRaticate)」、「FakeUpdateRU」などが観測されている。同社が観測した偽アップデートのURL件数は、2023年7月に58件、8月に108件、9月に152件と、直近3ヶ月で右肩上がりに増加している。

 同社が今回、分析を行っている「SocGholish」 は、様々なマルウェアを配信するために使用されているJavaScriptフレームワークで、2017年末頃から観測されており、2022年に米国の250以上のニュースサイトを改ざんしたことも判明している。

 同レポートによると、「SocGholish」はブラウザ上で正規サイトの html を置き換えることで、偽アップデートページを表示し、マルウェアをダウンロードさせていることが判明している。改ざんされた正規サイトにアクセスすると JavaScript が順次実行され、アクセスしたブラウザ上で html の置き換えが発生する、実際に偽アップデートページを表示する際は、リダイレクトはせず、アドレスバーも元の正規サイトの URL のままで、一瞬で表示されるため、不信感を与えにくくなっている。

 「SocGholish」は、アクセスした人の動作等を含め、IPアドレスや解析者・サンドボックスなどの機械的なアクセスかどうかといった様々な項目で確認を行いながら挙動を変化させ、チェック時に問題が確認され、想定するターゲットではないことが判明した場合は、別ルートに誘導される、そのステップで終了し偽アップデートページが表示されない等、想定するターゲットにのみ偽アップデートページを表示させることで、様々な解析回避を行っている。

 想定するターゲットの場合、html が大きく置き換えられ、偽アップデートページが表示され、ページ内のボタンをクリックすることでファイルがダウンロードされる。ダウンロード部分には解析回避で用いられる「HTML Smuggling」という手法を確認している。

《高橋 潤哉》

この記事の写真

/

特集

関連記事

PageTop

アクセスランキング

  1. イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

    イセトーへのランサムウェア攻撃で日本生命保険の個人情報が漏えい

  2. 新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

    新日本製薬にランサムウェア攻撃、全ての業務は通常通り稼働

  3. 2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

    2021年の「不正アクセスによる情報流出の可能性に関するお詫びとお知らせ」を2024年9月30日に削除 ~ 丸紅パワー&インフラシステムズ

  4. 国際手配のランサム犯 逮捕されずに世界中を旅行

    国際手配のランサム犯 逮捕されずに世界中を旅行

  5. イセトーへのランサムウェア攻撃で豊田市の推定 42 万人分の個人情報が漏えい、被害発生時は契約に基づき対応

    イセトーへのランサムウェア攻撃で豊田市の推定 42 万人分の個人情報が漏えい、被害発生時は契約に基づき対応

ランキングをもっと見る
PageTop