Source: https://thehackernews.com/2025/09/hiddengh0st-winos-and-kkrat-exploit-seo.html
🛡 概要
中国語を話すユーザーをターゲットにしたSEOポイズニングキャンペーンが進行中です。攻撃者は偽のソフトウェアサイトを利用してマルウェアを配布しています。Fortinetの研究者によると、攻撃者はSEOプラグインを操作し、正規のソフトウェアサイトに似たドメインを登録することで検索ランキングを操作しました。この手法により、ユーザーは偽のページに誘導され、マルウェアをダウンロードさせられます。最近の攻撃では、HiddenGh0stやWinosと呼ばれるリモートアクセス型トロイの木馬が使用されています。これらのマルウェアは、サイバー犯罪グループ「Silver Fox」に関連付けられています。
🔍 技術詳細
Fortinetが発見した攻撃チェーンでは、ユーザーがGoogleでDeepL TranslateやGoogle Chromeなどのツールを検索すると、偽のサイトにリダイレクトされ、トロイの木馬化されたインストーラーが配布されます。このプロセスを制御するスクリプト「nice.js」が存在し、ダウンロードリンクを呼び出してJSONデータを取得、その中に含まれるリンクが最終的な悪意のあるインストーラーのURLにリダイレクトします。インストーラー内には、悪意のあるDLL「EnumW.dll」が含まれており、解析を回避するためのチェックを行います。もし、360 Total Securityがインストールされている場合、マルウェアはCOMハイジャッキングを使用して持続性を確保し、Windows実行可能ファイル「insalivation.exe」を起動します。
⚠ 影響
このマルウェアの感染によって、Command-and-Control (C2) モジュールを通じてリモートサーバーとの通信が確立され、データが暗号化形式で交換されます。感染後、システムや被害者のデータを収集し、実行中のプロセスを列挙する「Heartbeat」機能も実装されています。また、ユーザーの行動を監視し、C2サーバーにビーコントラッキングを行う「Monitor」機能も存在します。さらに、マルウェアは追加のプラグインをダウンロードし、キーストロークやクリップボードデータを記録することが可能です。特に、暗号通貨ウォレットをハイジャックする機能もあり、被害者に甚大な損害を与える恐れがあります。
🛠 対策
ユーザーは、ソフトウェアをダウンロードする際にドメイン名を慎重に確認する必要があります。また、信頼性のあるセキュリティソフトウェアをインストールし、定期的に更新することで、マルウェアの侵入を防ぐことができます。さらに、ダウンロードしたファイルを実行する前に、ウイルススキャンを行うことが推奨されます。特に、360 Total Securityなどの特定のアンチウイルスソフトウェアが狙われているため、これらのソフトウェアを使用している場合は、最新のセキュリティパッチを適用し、設定を見直すことが重要です。
