セキュリティ研究者たちは、デジタル署名付きのアドウェアツールがSYSTEM権限で実行されるペイロードを展開するために使用され、数千のエンドポイントでアンチウイルス保護を効果的に無効化しているという、大規模なキャンペーンを発見しました。これらのエンドポイントは、教育、公益事業、政府、医療など、多様なセクターにまたがっています。 研究者たちは、わずか1日で124カ国で23,500以上の感染ホストがオペレーターのインフラストラクチャに接続しようとしていることを確認し、価値の高いネットワーク内に数百の感染エンドポイントが存在していました。 ### 単なるアドウェア以上のもの **Huntress**のセキュリティ研究者たちは3月22日にこのキャンペーンを発見し、潜在的に望ましくないプログラム（PUP）として分類される署名付き実行ファイルが、複数の管理環境でアラートを引き起こしていると指摘しました。PUPは一般的に迷惑なものと見なされ、主に広告を通じて収益を生み出します。しかし、このキャンペーンはより悪質な進化を示しています。 このソフトウェアは、**Dragon Boss Solutions LLC**という企業によって署名されていました。Huntressによると、同社は「検索収益化リサーチ」に関与しており、**Chromstera Browser**、**Chromnius**、**WorldWideWeb**、**Web Genius**、**Artificius Browser**などのさまざまなツールを宣伝しています。これらのツールは、セキュリティソリューションによってPUPとしてフラグが立てられることがよくあります。  広告やリダイレクトといった一般的な迷惑行為を超えて、これらのブラウザはアンチウイルスキラーを展開する高度なアップデートメカニズムを備えています。 ### セキュリティの無効化 Huntressは、このオペレーションが商用の**Advanced Installer**オーサリングツールのアップデートメカニズムを活用して、MSIおよびPowerShellペイロードを展開していることを発見しました。アップデートプロセスの設定ファイルには、ユーザーの操作なしに完全にサイレントな操作を示すフラグが含まれていました。ペイロードは昇格された（SYSTEM）権限でインストールされ、ユーザーが自動アップデートを無効にしたり、新しいアップデートを頻繁にチェックしたりすることを防いでいました。 アップデートプロセスは、**VirusTotal**で少数のセキュリティベンダーによって悪意のあるものとしてフラグが立てられているGIF画像として偽装されたMSIペイロード（Setup.msi）を取得します。このMSIペイロードには、PowerShellスクリプトの実行や特定のソフトウェアの識別など、Advanced Installerで使用される正規のDLLが含まれています。インストーラーの指示は、'<em>!_StringData</em>'という名前の別のファイルに含まれています。 メインペイロードを展開する前に、MSIインストーラーは管理ステータスの確認、仮想マシンの検出、インターネット接続の検証、および**Malwarebytes**、**Kaspersky**、**McAfee**、**ESET**のインストール済みアンチウイルス（AV）製品のレジストリクエリなどの偵察を実行します。これらのセキュリティ製品は、<em>ClockRemoval.ps1</em>という名前のPowerShellスクリプトを使用して無効化されます。 .jpg) *ClockRemoval.ps1*スクリプトは、システム起動時、ログオン時、および30分ごとに実行され、サービスを停止し、プロセスを終了し、インストールディレクトリとレジストリエントリを削除し、ベンダーのアンインストーラーをサイレントに実行し、アンインストーラーが失敗した場合はファイルを強制的に削除することで、AV製品が削除されることを保証します。このスクリプトは、ホストファイルを変更し、それらをnullルーティング（0.0.0.0にリダイレクト）することでベンダーのドメインをブロックし、セキュリティ製品の再インストールやアップデートを防ぎます。 分析中、Huntressはオペレーターがメインのアップデートドメイン（<em>chromsterabrowser[.]com</em>）またはフォールバック（<em>worldwidewebframework3[.]com</em>）を登録していないことを発見しました。これにより、感染したホストからの接続をシンクホールすることができました。 メインのアップデートドメインを登録することで、Huntressは「何万もの侵害されたエンドポイントが指示を求めてアクセスしてきましたが、それは誤った手に渡れば何にでもなり得たでしょう」と観察しました。 IPアドレスに基づいて、研究者たちは価値の高いネットワーク内で324の感染ホストを特定しました。 * 北米、ヨーロッパ、アジアの221の学術機関 * エネルギーおよび輸送セクター、および重要インフラプロバイダーの41のオペレーショナルテクノロジーネットワーク * 35の地方自治体、州機関、および公共事業 * 24の初等・中等教育機関 * 3つの医療組織（病院システムおよび医療提供者） * 複数のFortune 500企業のネットワーク BleepingComputerによるDragon Boss Solutionsへの連絡の試みは、同社のサイトがもはや稼働していないため成功しませんでした。 Huntressは、このツールは現在AVキラーとして機能していますが、そのメカニズムはさらに危険なペイロードを導入する可能性があると警告しています。システム管理者は、「MbRemoval」または「MbSetup」を含むWMIイベントサブスクリプション、WMILoad」または「ClockRemoval」を参照するスケジュールされたタスク、およびDragon Boss Solutions LLCによって署名されたプロセスを探すことを推奨しています。さらに、AVベンダーのドメインをブロックするエントリがないかホストファイルをレビューし、「DGoogle」、「EMicrosoft」、または「DDapps」のような疑わしいパスの**Microsoft Defender**除外を確認してください。