大規模な悪意のあるキャンペーンが、正規のオープンソースおよびフリーウェアプロジェクトを積極的に偽装し、ユーザーを欺いて高度なマルウェアをダウンロードさせています。このキャンペーンの手法は、人気のツールに酷似した非常に説得力のある偽のポータルを作成し、その後「トラフィック配分システム（TDS）」を使用して様々な悪意のあるペイロードをフィルタリングおよび配信することです。 ### 偽ポータルの欺瞞的な誘い **Check Point**のセキュリティ研究者らが、この手の込んだスキームを明らかにしました。**Check Point**のセキュリティ研究者である**Alexey Bukhteyev**氏は、「これらのサイトはよく設計されており、一見すると正規のプロジェクトポータルに見えることが多く、時には実際のアップストリームリソースを参照しています」と述べています。この詳細レベルにより、ユーザーは正規サイトと不正サイトを区別することが困難になります。 欺瞞は視覚的な魅力にとどまりません。ユーザーがこれらのサイトからソフトウェアをダウンロードしようとすると、**CloudFront**でホストされているJavaScriptステージングレイヤーがクリックを傍受します。このレイヤーは、リクエストをTDSに引き継ぎ、初回訪問チェック、必須クリック確認、アンチボット/アンチ分析対策、VPN/データセンターフィルタリング、頻度制限など、厳格なゲートロジックを適用します。 特定された不正サイトの一部は、**Ghidra**、**dnSpy**、**SpiderFoot**などの有名なリバースエンジニアリングおよびセキュリティツールを模倣しています。これらのサイトは、**Google**のような検索エンジン向けに戦略的に最適化されており、検索結果の上位に表示され、正規のプロジェクトページを凌駕しています。 ### 脅威の進化 このキャンペーンの初期の反復は、2023年11月に**Fullstory**によって文書化されており、2023年9月以降の活動を示唆する証拠があります。当時、アトランタに拠点を置く同社は、ドメインがトラフィックを促進し、サードパーティ広告を可能にするために、検索エンジンのランキングを有利にするために焦点を当てていることを観察していました。 当初は直接マルウェアを配信していませんでしたが、**Check Point**の最新の調査結果は、大幅なエスカレーションを示しています。2024年1月以降、TDSスクリプトが埋め込まれ、インフラストラクチャは直接マルウェア配信のために再利用されました。  決定的なのは、これらの偽サイトの「ダウンロード」ボタンは、ホバー時に正規のダウンロードURLを表示するように設計されており、真正性の見せかけを提供しています。しかし、ボタンをクリックすると、悪意のあるTDSリダイレクトチェーンが開始されます。分析をさらに回避するため、同じIPアドレスから繰り返しダウンロードを試みると、マルウェアの代わりに**Opera**ブラウザや無害なブラウザ拡張機能などの正規のソフトウェアが配信される場合があります。 ### マルウェアの武器庫 TDSは、さまざまな強力なマルウェアファミリーを配信するように設計されています。 * **SessionGate**: これまで知られていなかった、多段階の難読化されたローダーです。潜在的に望ましくないアプリケーション（PUA）を配信するために使用され、サンドボックスが検出された場合に正規のインストーラーエクスペリエンスにピボットすることを含む、広範なアンチ分析メカニズムを備えています。 * **Remus Stealer**: マルウェアアズアサービス（MaaS）モデルで動作する新しい情報ステイラーです。20を超えるブラウザ、数百のブラウザ拡張機能、および仮想通貨ウォレット、二要素認証ツール、パスワードマネージャーを含むアプリケーションからデータを窃取できます。**Remus Stealer**は、悪名高い**Lumma Stealer**のバリアントであると考えられています。 * **AnimateClipper**: クリップボードにコピーされたウォレットアドレスを置き換えることができ、20を超えるブロックチェーンエコシステム全体でトランザクションをハイジャックする仮想通貨クリッパーです。これはしばしば**ClickFix**の誘い文句を通じて配信されます。  ### グローバルなリーチと回避戦術 **VirusTotal**からのテレメトリによると、**SessionGate**ファミリーに関連するサンプルの提出は約2,000から3,500件です。これらの提出の大部分はトルコ、ポーランド、ブラジル、ドイツ、フランス、ロシア、英国から発信されており、広範な地理的影響を示しています。 **SessionGate**の感染シーケンスは特に巧妙です。リダイレクトパスの完全なトラバース後、クライアントごとに一意のペイロードを配信します。この多段階配信チェーンは、広範な検証ロジックおよびTDS側のゲートと組み合わされ、分析に積極的に抵抗し、セキュリティ研究者にとってペイロードの取得を非常に困難にするように設計されています。 最終的なDLLペイロードは外部サーバーと通信して暗号化された構成を取得し、ダウンロードURLを抽出し、`cmd.exe`を使用して次のステージのマルウェアをサイレントに実行します。  Bukhteyev氏は、主な目的はトラフィック獲得と収益化である可能性があると強調していますが、「ゲート付きTDSレイヤーを埋め込み、検索トラフィックをそこに誘導することで、オペレーターは、下流の消費者にマルウェアディストリビューターが含まれる可能性のある配信チェーンの一部となります。グレーな収益化を促進する同じトラフィックパイプラインは、実際のユーザーを選択的に悪意のあるペイロードにルーティングすることもできます。」と述べています。 ### 専門家とユーザーへのアドバイス このキャンペーンの巧妙さを考慮すると、ITセキュリティ担当者は、ソフトウェアダウンロードソースの検証に関するユーザー教育を強化する必要があります。検索エンジンの結果のみに依存するのではなく、常に公式プロジェクトウェブサイトまたは信頼できるリポジトリに直接アクセスしてください。堅牢なエンドポイント検出および応答（EDR）ソリューションを実装し、これらの高度なマルウェア脅威を検出およびブロックするためにセキュリティソフトウェアが最新の状態であることを確認してください。