ハッカーが Bing AI Search を悪用し、偽の OpenClaw インストーラーを通じてマルウェアを拡散
<本文>
Microsoftは最近、ハッカーがOAuthアプリケーションをフィッシングに悪用していることについて警告しており、以前の事件では、攻撃者が正規のデジタル証明書を使用してマルウェアを拡散させていたことが示されている。研究者らは現在、悪意のある攻撃者がBingのAI強化検索結果を利用してマルウェアを配布していると述べている。
攻撃者は、GitHub 上でホストされている偽の OpenClaw インストーラーを宣伝しました。これは、ユーザーがオープンソース AI エージェントの Windows バージョンを検索したときに、Bing の AI 検索によって推奨されました。
Bing AI 検索を通じて宣伝された偽の OpenClaw インストーラー
OpenClaw は、開発者や AI 愛好家の間で人気のあるオープンソース AI エージェントです。脅威アクターは、正規の OpenClaw インストーラーになりすました悪意のある GitHub リポジトリを公開することで、その人気を悪用しようとしました。
Huntress のセキュリティ研究者は、一見すると正当に見えるいくつかのリポジトリを特定した後、このキャンペーンを発見しました。
攻撃者は、openclaw-installer など、実際のものに似た GitHub 組織名を使用して、プロジェクトを信頼できるものに見せようとしました。リポジトリは、Cloudflare moltworker プロジェクトからコードをコピーして、本物の開発活動のように見せました。
出典: ハントレス
ユーザーが OpenClaw の Windows バージョンを検索したときに、Bing の AI 検索がこれらのリポジトリのいずれかを推奨し、被害者を悪意のあるインストール手順に誘導したと報告されています。
ターミナル コマンドの対象となる macOS ユーザー
macOS の攻撃チェーンは、インストール手順を介したソーシャル エンジニアリングに依存していました。
ユーザーは、ターミナルで bash コマンドを実行するよう指示され、攻撃者が制御する別の GitHub リポジトリから追加ファイルをダウンロードしました。
ダウンロードされたペイロードは、最終的に、感染したマシンから機密データを抽出するように設計された macOS 情報窃取マルウェアである Atomic Stealer をインストールしました。
Windows インストーラーは複数のマルウェア ローダーを展開しました
Windows ユーザーは、いくつかの悪意のある実行可能ファイルを配信する OpenClaw_x64.exe などの偽インストーラーに遭遇しました。
ペイロードの多くは、最初の感染後に追加のマルウェアを展開するように設計された Rust ベースのマルウェア ローダーでした。
研究者らは、このキャンペーンで使用された 2 つの主要なマルウェア ファミリを特定しました。
1 つは Vidar infostealer で、Telegram チャネルと Steam プロファイルを通じてコマンド アンド コントロール命令を取得する資格情報を盗むマルウェアです。
もう 1 つは、感染したシステムを攻撃者が悪意のあるトラフィックのルーティングに使用できるプロキシ ノードに変換するバックコネクト プロキシ マルウェアである GhostSocks です。
感染したマシンは資格情報の盗難やプロキシ ネットワークに使用される可能性があります
このマルウェアがインストールされると、攻撃者が被害者のデバイスから資格情報やその他の機密情報を盗むことができる可能性があります。
侵害されたシステムは、不正検出システムをバイパスしたり、感染したマシンを介して悪意のあるトラフィックをルーティングしたりする可能性もあり、攻撃者がその活動を隠蔽するのに役立ちます。
研究者は、キャンペーンに関与したいくつかの GitHub アカウントとリポジトリを追跡し、GitHub に報告しました。
この事件は、攻撃者が信頼できるプラットフォームやツールを悪用してマルウェアを拡散させるサイバー犯罪の増加傾向を浮き彫りにしました。
セキュリティ専門家は、公式リポジトリまたは検証済みのプロジェクト ページからのみソフトウェアをダウンロードし、検索結果のみに頼るのではなく、信頼できるソースをブックマークすることを推奨しています。
別のサイバーセキュリティ ニュースで、研究者らは現在オンラインで広まっている、アカウントの資格情報を盗もうとする Google をテーマにしたフィッシング キャンペーンについても警告しています。
ブリーピングコンピュータ経由
*️⃣ 出典リンク:
フィッシング用の OAuth アプリケーション、正規のデジタル証明書を使用したマルウェアの拡散、
Huntress、
、Google をテーマにしたフィッシング キャンペーン、
Bleeping Computer、