フィッシング攻撃の手口が大きく変化しています。偽のログインページを使った従来型のフィッシングキャンペーンが消えたわけではありませんが、サイバー犯罪者の間では情報窃取型マルウェア(インフォスティーラー)の活用が急速に広まっています。
攻撃者は、被害者に積極的にユーザー名やパスワードを入力させるのではなく、悪意あるプログラムを展開して、こっそりと機密情報を収集します。
このアプローチは非常にスケーラブルであり、被害者が不正なウェブサイトを操作する必要もありません。
さらなる背景として、ダークウェブ上で急成長しているMalware-as-a-Service(MaaS)エコノミーの存在があります。既製品のスティーラーキットや初期アクセスサービスは驚くほど安価で入手でき、技術力の低いハッカーでも容易に参入できる環境が整っています。
現代のサイバー犯罪エコシステムでは、インフォスティーラーは高度に組織化された攻撃の初期段階を担うのが一般的です。
窃取されたデータはスクレイピングされてログとしてパッケージ化され、詐欺やビジネスメール詐欺(BEC)、ランサムウェアの展開を専門とする別の犯罪者グループに販売されます。
この分業体制により、1台の感染端末が複数の脅威アクターに対してそれぞれ収益をもたらす構造が生まれています。
このエコシステムが非常に高収益であるため、オペレーターはステルス性の高いキャンペーンを継続させるべく、コードを常に更新し、インフラを定期的にローテーションしています。
インフォスティーラーはマルバタイジングや偽のソフトウェアアップデートを主な感染経路としているため、組織や個人はインターネット上の広告に対して強い懐疑心を持つことが重要です。
特に効果的な対策として、検索結果のスポンサー広告は一切クリックしないことが挙げられます。代わりに、公式ウェブサイトへ直接アクセスし、ソフトウェアは信頼できるベンダーの公式サイトや公式アプリストアからのみダウンロードするようにしてください。
「ClickFix」と呼ばれる比較的新しい高度なソーシャルエンジニアリング手法では、ユーザーが自らデバイスを感染させるよう巧みに誘導されます。
この手口は偽のエラー画面を利用し、被害者に悪意あるスクリプトをコピーしてシステムのターミナルに直接貼り付けるよう促します。
Malwarebytesの調査によると、不正なゲームチートツールや海賊版ソフトウェアは、現在もインフォスティーラーの最も一般的な配布経路のひとつであり続けています。
これらの違法ダウンロードには、本来使用する目的のプログラムに紛れ込む形で、巧妙なマルウェアが同梱されていることが多いです。
フィッシングメールは依然として大きな脅威ですが、焦らず、リンクをクリックする前に緊急を装ったリクエストの正当性を確認するだけで、大半の攻撃を無効化することができます。
機密データをひそかに抜き取られないよう、これらのシンプルなセキュリティ習慣を日頃から実践することをお勧めします。
翻訳元: https://cyberpress.org/phishing-campaigns-deploy-infostealers/
