TikTokやInstagram Reelsなどショート動画プラットフォームを悪用し、マルウェアを配布したり被害者を悪意あるダウンロードサイトへ誘導したりする、新たなフィッシング手法が確認されています。
攻撃者は、Spotify PremiumやCapCut Proといった有料ソフトウェアの無料入手を謳った、洗練された「使い方解説」動画やカジュアルな体験談風クリップを公開しています。これらはクリックやコメントを誘発し、最終的にはVidarstealerなどの情報窃取型マルウェアをもたらすコマンド実行やファイルダウンロードへとユーザーを誘導します。
確認されているキャンペーンスタイルは大きく2種類です。1つ目は、権威ある雰囲気のナレーション・洗練されたグラフィック・ブランディングを備えた、プロ仕様のチュートリアル動画です。「windows.tips」のような青白アイコン付きのユーザー名を使い、正規ページを模したアカウントが用いられています。
こうした動画では、ユーザーにPowerShellコマンドを実行させる手順が詳しく説明されています。たとえばinvoke-expression(iex)を呼び出してリモートスクリプトを取得・実行させるものであり、技術的な知識が乏しいユーザーほど危険なコマンドをコピー&ペーストしてしまいやすくなっています。
2つ目は、インフルエンサー風のカジュアルなスタイルです。「Spotify Premiumを無料で手に入れた」という短いクリップにトレンドの音楽を乗せ、視聴者の好奇心を刺激します。
攻撃者はコメントを積極的に求めることでエンゲージメントを高め、DMやフォローアップ動画、または無料ダウンロードを謳う集約サイトへのリンクを提示します。
どちらの手法も、ユーザーをプラットフォーム外の攻撃者管理ドメインへ誘導します。これらのドメインはマルウェアを直接ホストするほか、アンケート詐欺やリダイレクトによるトラフィック収益化を行うこともあり、いずれもペイロード配布の前段階として機能します。
ReversingLabs(RL)がGBhackersと共有したレポートでは、これら2種類のキャンペーンを分析しています。どちらもコンテンツ推薦アルゴリズムを異なる指標で操作することで、広範なオーディエンスへのリーチに成功しています。
TikTokとInstagram Reelsを悪用した攻撃手口
これらのキャンペーンが効果を上げている背景には、プラットフォームの推薦アルゴリズムと人間の信頼心理を巧みに利用している点があります。チュートリアル動画は保存・シェアされやすく、高エンゲージメントとしてリーチを拡大します。一方、コメントを促す一見オーガニックなアカウントは、正規クリエイターの成長戦略を模倣しています。
AI生成の音声と定型化された動画制作手法により、攻撃者はコンテンツを素早くスケールアップできます。
ReversingLabsの分析では、悪意ある動画の中に数十万回の再生数と数千件の保存・シェアを獲得したものが確認されています。また、チュートリアルリンク経由で取得された実行ファイルの少なくとも1つが、Malware-as-a-Serviceとして提供されている広く普及した情報窃取型マルウェア「Vidarstealer」であることが確認されています。
技術面・組織面での対策は明確ですが、継続的な適用が求められます。技術面では、エンドポイントへの最小権限の原則を徹底することが重要です。具体的には、任意のPowerShellスクリプトの実行を制限し、信頼できないソースからのiex実行など危険なリモートコード実行パターンをブロックしてください。
アプリケーションの許可リスト制御、スクリプトベースのダウンローダーを検出するよう調整されたEDR(エンドポイント検出・対応)ソリューション、そしてpluginchad[.]xyzやmaxapk[.]xyzなど既知の悪意あるドメインをブロックするWebフィルタリングの導入も有効です。
実行前に不審なバイナリを検査するため、サンドボックスやファイルレピュテーションサービス(ReversingLabs Spectra Analyzeなど)の活用も推奨されます。
人的対策としては、フィッシング啓発トレーニングをメール以外にも広げ、ソーシャルメディアの適切な利用についても教育することが重要です。具体的には「動画内のコマンドは絶対に実行しない」「ソフトウェアをダウンロードする前に提供元を確認する」「無料プレミアム特典の勧誘には疑いの目を向ける」といった内容が含まれます。
pluginchad[.]xyzやmaxapk[.]xyzなど一部のサイトはすでに閉鎖されています。ただし研究者らは、d4ug[.]site(現在は非アクティブ)についてSpectra AnalyzeのInteractive Sandboxを使って調査することができました。
不審なコンテンツの報告を促進し、個人・業務アカウントを問わず発見された脅威をエスカレーションするための明確なプロセスを整備することも求められます。
インストール権限を定期的に監査し、企業デバイスへのソフトウェアインストールを承認済み担当者のみに限定することも重要です。
プラットフォーム側の対策は依然として不均一な状況です。研究者らは、削除対応の一貫性のなさや、コンテンツ作成者が反対意見のコメントを削除できることを指摘しており、コミュニティによる自浄作用には限界があります。
プラットフォームのモデレーションが改善されるまでの間、組織はソーシャルメディアが非常に巧妙な誘惑を仕掛けてくる可能性があると認識した上で、技術的な防護策とユーザー行動の両面を適切に整備していく必要があります。
ショート動画は手軽で影響力が大きく、その特性が脅威アクターにとっての魅力となっています。アルゴリズムによる拡散とソーシャルエンジニアリングを組み合わせることで、何気ないスクロールが大規模なマルウェア配布チャネルへと転換されてしまいます。
侵害の痕跡(IoC)
| 種別 | 値 |
|---|---|
| ハッシュ | 03bbc4fa1fd784276da135ab62fef85aaddea66e6eb176d7e59c3398f818b153 |
| ドメイン | Pluginchad[.]xyz |
| ドメイン | Maxapk[.]xyz |
| ドメイン | D4ug[.]site |
| ドメイン | Slmgr[.]sh |
| ドメイン | Ms[.] get |
| ドメイン | slmgr[.] sh |
| アカウント | tiktok[.]com/@windows.tips1 |
| アカウント | tiktok[.]com/@windows.insight |
| アカウント | tiktok[.]com/@davidcooksey47 |
| アカウント | tiktok[.]com/@tracyhughe |
| アカウント | tiktok[.]com/@mr.capcut.pro2 |
| アカウント | instagram[.]com/wtips404 |
| アカウント | instagram[.]com/wndwstips |
| アカウント | instagram[.]com/epemberton369 |
注意: IPアドレスおよびドメインは、誤った名前解決やハイパーリンク化を防ぐため、意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの脅威インテリジェンスプラットフォーム内でのみ、再ファング処理を行ってください。
翻訳元: https://gbhackers.com/hackers-use-tiktok-and-instagram-reels/
