セキュリティ研究者らが、ユーザーのブラウザをロックして詐欺的な技術サポートチームに誘導するように設計された新しいスケアウェアについて警告を発しています。
2026年初頭以来、Barracuda研究者らはCypherLocというダビングされたスケアウェアを使用した約280万件の攻撃を観察したと述べています。
サイバーセキュリティ企業によると、CypherLocキャンペーンは通常、メールに埋め込まれたリンクまたは添付ファイルを通じて被害者を悪意あるウェブページに誘導するフィッシングメールで始まります。
無害な悪意あるウェブページが読み込まれ、いくつかの条件を満たした場合にのみ完全なスケアウェア環境がトリガーされます。
「コードは、必要なURLフラグメントハッシュが存在し、ページが一連の暗号整合性チェックに合格する場合など、適切な条件下でページが開かれた場合にのみ復号化されます」とBarracudaは記事で説明しました。
「隠されたフラグメントが欠けている場合、またはページがスキャナー、サンドボックス、またはテスト環境で開かれている場合、悪意あるペイロードは実行されず、ページは空白の画面にリダイレクトされます。これはセキュリティツールから攻撃を隠します。」
スケアウェアの詳細を読む:偽の訃報サイトが遺族をポルノおよびスケアウェアページに送る
その後、ユーザーに不快感を与えるために設計された一連のアクションが続きます:
- ブラウザが全画面モードに切り替わり、コンテキストメニューが無効化され、カーソルが隠され、画面がオーバーレイで埋め尽くされます
- 制御を取り戻すための試みはすべて「再ロック」をトリガーします
- 偽のセキュリティページは、ユーザーがクリックするたびに警告音を再生します
- この追加のアクティビティはブラウザを遅くするか、クラッシュさせる可能性があります
- CypherLocはユーザーのIPアドレスを取得して表示します
- ユーザーにログインポップアップが表示され、それが機能しないときにパニックの感覚が高まります
「詐欺的なサポート電話番号は攻撃全体を通じて画面に目立つように表示され、問題を修正する唯一の方法として提示されます」とBarracudaは続けました。「被害者が電話番号に電話をかけると、Microsoftサポートスタッフを装った人間のオペレーターが引き継ぎ、ライブ会話を通じて詐欺を続けます。」
最終的な目標が何であるかは明確ではありませんが、認証情報の盗難は1つの選択肢です。
スケアウェアに対処する方法
「CypherLocは、現代のスケアウェアが明らかなマルウェアから離れて、検出が難しく、高い効果を持つブラウザベースのユーザー駆動型詐欺へシフトしている方法を示しています」とBarracudaの脅威分析チームマネージャーであるSaravanan Mohankumarは述べました。
「それはブラウザ自体を使用して被害者にアクションを起こすよう圧力をかけます。隠されたコード、遅延アクティベーション、および攻撃的なオンスクリーン動作を組み合わせることで、ほとんど技術的な痕跡を残さずに深刻なシステム問題の説得力のある幻想を作り出します。」
Barracudaは、企業のセキュリティチームが疑わしいスクリプト動作を検出してブロックするために、アンチフィッシング、ブラウザ、およびエンドポイント保護を導入することを推奨しました。また、ユーザーがそのような脅威について教育を受けていることを確認することも重要です。
翻訳元: https://www.infosecurity-magazine.com/news/researchers-cypherloc-scareware/
