中国のマルウェアがGitHubページを利用して開発者を標的に

中国のユーザーが人気のブラウザや通信ソフトウェアをダウンロードしようとする際、リモートアクセス機能を持つマルウェアの変種によって攻撃されています。Fortinet FortiGuard LabsやZscaler ThreatLabzを含む複数のサイバーセキュリティ機関がこれらの活動を報告しています。

Fortinetは、HiddenGh0stとWinosという2つのリモートアクセス型トロイの木馬（RAT）を配信するSEOポイズニングキャンペーンを発見しました。攻撃者は、DeepL Translate、Google Chrome、Signal、Telegram、WhatsApp、WPS Officeなどのプログラムのダウンロードページを偽装して、タイポスクワットドメインに作成しました。

彼らは、さまざまなSEOプラグインを使用して、これらのプログラムを検索するユーザーを誤ったサイトに誘導しました。ダウンロードは望ましいプログラムを配信するように見えますが、インストーラーはトロイの木馬化されており、上記のトロイの木馬のいずれかを提供します。

同時に、Zscalerの研究者は、以前は知られていなかったトロイの木馬、kkRATが配信されていることを観察しました。このキャンペーンは5月に開始され、WinosとFatalRATも含まれています。kkRATのコードはGh0st RATやBig Bad Wolfに似ており、データ圧縮後に暗号化層を追加したネットワーク通信プロトコルを使用しています。

このトロイの木馬は、悪意のある活動を実行する前にアンチウイルスソフトウェアを無効にすることができ、360 Internet Security suite、360 Total Security、HeroBravo System Diagnostics suiteなどが対象です。Fortinetの発見とは異なり、このキャンペーンはGitHubページを使用しており、プラットフォームのコミュニティの信頼を利用してトロイの木馬を配布しています。このキャンペーンで使用されたGitHubアカウントは既に終了されています。