CypherLocは、被害者を詐欺的なテクニカルサポート電話に誘導するために設計された洗練されたブラウザロック詐欺ウェアです。ブラウザ内で暗号化された条件ベースの方法で実行することで、スキャナーとサンドボックスを回避します。
セキュリティチームは、堅牢なアンチフィッシング、ブラウザ、およびエンドポイント保護を備えるべきであり、ユーザー教育を優先すべきです。
2026年の開始以来、Barracudaの研究者たちはこのキットを特徴とする約280万件の攻撃を観察しています。CypherLocは、詐欺ウェアが単純な画面フリーズ詐欺から、従来のマルウェアインストールではなくユーザーの恐怖に依存する隠密なブラウザ常駐攻撃フレームワークにどのように進化したかを示しています。
攻撃は通常、フィッシングメールで始まります。埋め込みリンクまたは悪意のある添付ファイルが含まれており、被害者を侵害されたウェブページにリダイレクトします。
ページは最初は無害に見えますが、完全に制御された詐欺ウェア環境に段階的に移行するように設計されています。ページ内に隠された特定の条件下でのみ活動するトリガーがあり、条件が満たされると、ページはフルスクリーン詐欺ウェアインターフェイスに変換され、ブラウザがロックされ、警告的なセキュリティ警告が表示され、被害者に直ちに「サポート」に連絡するよう促します。
Barracudaの脅威インテリジェンス部門であるBarracuda Researchは、高度な回避技術、積極的なブラウザ制御、心理的操作を組み合わせた洗練されたウェブベースの詐欺ウェアキット「CypherLoc」を特定しました。このキットは被害者を詐欺的なテクニカルサポート電話番号に電話させるように仕向けています。
被害者またはアナリストが実行中のページを検査しようとすると、CypherLocは意図的にブラウザを遅く、グリッチ、または不安定にし、深刻なシステム侵害の錯覚を強化します。
ハッカーがCypherLocキットを使用
CypherLocが特に危険な理由は、検出を回避するために使用する層状の技術的なトリックのセットです:
- 暗号化されたハッシュゲートペイロード: CypherLocはその実際の機能をウェブページに組み込まれた暗号化されたペイロード内に隠します。コードは必要なURLフラグメントハッシュが存在し、暗号化の整合性チェックが通った場合にのみ解読されます。
- 正しいハッシュなしでサンドボックスまたはテスト環境でスキャンされた場合、ペイロードは実行を拒否し、ページは空白の画面にリダイレクトされます。
- ランタイムページの置き換え: 読み込まれる初期ページは最終的な詐欺ウェアページではありません。復号化に成功した後、元のページは自分自身を削除し、ブラウザに完全に新しいページを注入し、ライブ検査ツールを破壊し、セッション途中でスクリプトをリセットします。
- 積極的なブラウザロック: CypherLocはフルスクリーンモードで引き継ぎ、コンテキストメニューを無効にし、カーソルを隠し、画面をオーバーレイで覆います。制御を回復しようとする試みは、すぐに再度ロック動作を引き起こし、強い閉じ込められ感を作成します。
- オーディオ圧力戦術: ユーザーがクリックしたとき、ページがフルスクリーンに切り替わったとき、またはページが再読み込みされたとき、警告音が自動的に再生され、ブラウザを遅くし、グリッチを引き起こし、フォレンジック分析を複雑にします。
- IPアドレスの露出: CypherLocはページ読み込み時に被害者のパブリックIPアドレスを取得し、目立つように表示します。これは純粋に心理的な戦術であり、技術的な悪用が発生していなくても、警告が個人化されたように感じさせ、恐怖を高めるように設計されています。
- 偽のログインフォーム: 認証情報入力フォームが被害者に表示され、ユーザー名とパスワードを求めます。これらの入力は処理されることはなく、その目的は脅威が正当に見えるようにし、被害者をより長く関与させ、認証情報の入力が問題を解決できないときにパニックをエスカレートさせることです。
- 開発者ツールの破壊: ブラウザ開発者ツール、特にネットワークタブを開くと、アセット再読み込み、メディアパイプラインの再開始、レイアウト再計算の急増がトリガーされ、分析ツールを圧倒し、ブラウザの不安定性につながります。
詐欺的なサポート電話番号は攻撃全体を通じて目立つように表示され、偽のシステム危機を解決する唯一の方法として提示されます。
被害者が電話をかけると、マイクロソフトサポートスタッフになりすましている人間のオペレーターが引き継ぎ、CypherLocが有効にするように設計されたソーシャルエンジニアリングループを完成させるライブ会話を通じて詐欺を続行します。
セキュリティチームは、堅牢なアンチフィッシング、ブラウザ、およびエンドポイント保護が導入されており、疑わしいスクリプト動作を検出およびブロックできることを確認すべきです。
同様に重要なのはユーザー教育です。正当なセキュリティアラートは電話番号を表示したり、ブラウザをロックしたり、ポップアップを通じて即座の対応を要求することはありません。
攻撃者が従来のマルウェアからブラウザベースのユーザー主導の攻撃に益々シフトするにつれて、組織はデバイスだけでなくユーザーを保護する制御が必要です。
CypherLoc詐欺ウェアはフィッシング、ソーシャルエンジニアリング、および技術的回避の危険な交差点にあり、2026年初頭だけで観察された280万件の攻撃は、それが即座の注意を要求する脅威であることを示しています。
翻訳元: https://gbhackers.com/hackers-use-cypherloc-kit/
