フィッシングキャンペーンが偽のログインページから情報窃取型マルウェア(インフォスティーラー)へと移行しつつあり、サイバー犯罪者の手口は着実に進化しています。このマルウェアは感染したシステムから静かに機密データを収集するよう設計されており、従来の認証情報を詐取するフィッシングページも依然として使われているものの、脅威アクターたちは今やユーザーの操作をより少なくしながらデータ収集効率を高める手法を優先するようになっています。
インフォスティーラーは、保存された認証情報・ブラウザのCookie・自動入力エントリ・セッショントークン・その他の機密データを、被害者のデバイスから直接抜き取ることに特化したマルウェアファミリーです。
この手法により、ユーザーを偽サイトに誘導してユーザー名やパスワードを手入力させる必要がなくなります。代わりに攻撃者は、すでに認証済みのセッションや保存済みデータへ直接アクセスできるため、攻撃の成功率が大幅に向上します。
このシフトの背景には、スケーラビリティとステルス性の追求があります。従来のフィッシングは悪意あるコンテンツへのユーザーの関与を必要とするため、摩擦が生じやすく、検出されるリスクも高まります。
MalwarebytesがGBhackersと共有したレポートによると、インフォスティーラーは最初の感染後、バックグラウンドで静かに動作します。被害者に気づかれることなく大量のデータを収集できるため、攻撃の痕跡が見えにくく、従来のフィッシング検知の指標では発見しづらいのが特徴です。
インフォスティーラーの配布手段も多様化しています。現在では、マルバタイジング(悪意ある広告)キャンペーン・偽のソフトウェアダウンロードサイト・クラックされたアプリケーション・ゲームのチートツール・不正なブラウザアップデートなどを通じて配布されるケースが増えています。
これらの手口は正規のものに見せかけやすく、ユーザーが操作してしまう可能性が高まります。マルウェアが実行されると、永続的に動作する仕組みを確立し、攻撃者が管理するインフラへのデータ送出を開始します。
多要素認証(MFA)の普及も、この傾向に影響を与えています。MFAは追加のセキュリティ層として機能しますが、攻撃者はセッションCookieや認証トークンを標的にすることで対応しています。これらを窃取することで、アクティブなセッションを乗っ取り、ログイン認証情報やワンタイムコードを一切使わずにMFA制御を完全に回避できてしまいます。
フィッシング攻撃、インフォスティーラーマルウェアへの移行が加速
インフォスティーラーが台頭するもう一つの要因として、MaaS(マルウェア・アズ・ア・サービス)エコシステムの拡大が挙げられます。アンダーグラウンドマーケットでは、既製品のスティーラーキット・ローダー・アクセスサービスが比較的低コストで手に入ります。
こうしたコモディティ化により、スキルの低い攻撃者でも独自のマルウェアを開発することなく、大規模な認証情報窃取オペレーションを実行できるようになっています。MaaSプラットフォームにはダッシュボード・データログ・インフラサポートが含まれており、攻撃のライフサイクル全体が効率化されています。
多くのキャンペーンでは、インフォスティーラーがサイバー犯罪サプライチェーンにおける最初のアクセス手段として機能しています。窃取されたデータは集約・分類され、アンダーグラウンドフォーラムやTelegramチャンネルで販売されます。
そのデータを購入した別の脅威アクターが、アカウント乗っ取り・金融詐欺・ビジネスメール詐欺(BEC)・ランサムウェアの展開など、それぞれの目的に活用します。
1台の侵害されたエンドポイントは、収集されたデータの種類によって複数の収益源を生み出す可能性があります。
インフォスティーラーの継続的な脅威は、こうした分業体制によって支えられています。オペレーターはマルウェアの亜種を継続的にアップデートし、C2(コマンド&コントロール)インフラを使い回しながら新たなキャンペーンを展開します。一方、アフィリエイトはフィッシングメール・SNSの誘導・悪意ある広告を通じた配布に注力します。
このモジュール型エコシステムにより、セキュリティ対策や摘発への迅速な適応が可能となっています。
被害を最小限に抑えるため、ユーザーおよび組織はダウンロードやブラウジングにおいてより厳格なポリシーを設ける必要があります。ソフトウェアは公式ベンダーのウェブサイトや信頼できるアプリストアからのみ入手し、スポンサー広告やサードパーティのダウンロードポータルは避けるべきです。
ClickFixのようなソーシャルエンジニアリングキャンペーンで多用される、未検証のソースからコマンドやスクリプトを実行する行為も、内容を完全に理解・確認した場合を除き、厳に避けてください。
海賊版ソフトウェア・クラックツール・非公式のブラウザ拡張機能は、依然としてインフォスティーラー感染のリスクが高い経路です。これらにはインストール時に起動する隠れたマルウェアが同梱されていることがあります。
拡張機能やソフトウェアをインストールする際は、権限の範囲・開発者の信頼性・必要性を十分に確認してください。
フィッシングメールは依然として広く使われていますが、多くの攻撃は基本的な確認手順で防ぐことができます。不審なリンク・予期しない添付ファイル・緊急性を煽るリクエストは、必ず公式チャネルを通じて確認するようにしてください。
攻撃者が手口を磨き続ける中、ユーザーの意識向上と慎重な行動が、ますます巧妙化するインフォスティーラー型キャンペーンに対する重要な防衛手段であり続けます。
翻訳元: https://gbhackers.com/phishing-attacks-pivot-to-infostealer-malware/
