脅威アクターがTikTokやInstagram Reelsのショート動画を悪用し、有料ソフトウェアを無料で利用できるようにするチュートリアルを装ってVidar情報窃取型マルウェアを拡散させています。
ReversingLabsの新たな調査では、プラットフォームのレコメンドアルゴリズムを巧みに操作して多くのユーザーにリーチする2つのキャンペーンが明らかになっています。いずれも、Spotify Premiumなど偽の無料ソフトウェアを宣伝するサイトへ視聴者を誘導する仕組みです。
Vidarは、300ドルの永久ライセンスでサービスとして販売されている老舗の情報窃取型マルウェアで、認証情報・金融データ・認証トークンなどを収集します。昨年10月のアップデートにより、検出されにくさがさらに増しています。
これらの動画は実際に大きな反響を呼び、あるチュートリアルは100,000回以上の再生数を記録しています。
TikTokマルウェアキャンペーンの詳細はこちら:AI生成のTikTok動画が情報窃取型マルウェアの配布に悪用
最初のキャンペーンでは、「windows.tips」のような名前と青白のクラウンアイコンを使い、公式Windowsプロフィールを模倣したほぼ同一のアカウントが利用されていました。AI音声のクリップが、視聴者にPowerShellの起動とコマンドの貼り付けを手順ごとに案内する仕組みです。
このPowerShellコマンドは、マイクロソフトのアドレスと誤認されやすい類似ドメイン「msget[.]run」からスクリプトを密かにダウンロードして実行します。ダウンロードされるファイルの正体はVidarです。
アルゴリズム上位を狙うため、これらのアカウントはプラットフォームが最も重視する「いいね」よりも、保存数やシェア数を意識的に稼ぐ戦略を取っていました。あるビデオでは、6桁の再生数に加えて約1700件の保存数が記録されています。
コメント欄を利用した好奇心への誘惑
ReversingLabsによると、2つ目のキャンペーンは前者に比べて作りが粗雑でした。一般ユーザーのように見えるアカウントが音楽付きの動画でSpotify Premiumの無料利用をアピールし、コメント欄で視聴者を誘い込む手口が使われています。「ok」などの特定の言葉を返信するよう促し、ダイレクトメッセージで手順を送りつけるケースもあります。
その手順では「d4ug[.]site」などのサイトへの誘導が行われており、無料ゲームやAIツールを謳いながらも、ダウンロードの前に何度もアンケートへの回答を求める仕組みになっています。ReversingLabsはアンケートを突破できなかったため、最終的なペイロードは未確認のままとなっています。
この手口は広がりやすく、あらゆるソーシャルエンジニアリングと同様に対策が困難です。投稿者は他ユーザーへの警告コメントを削除できますし、InstagramへのReversingLabsによる通報も却下されています。
ReversingLabsはこの脅威への対策として、組織に以下を求めています。
-
ソフトウェアインストール権限の保有者とインストール内容の監査
-
フィッシング対策トレーニングをメールやテキストだけでなく、SNSフィードをカバーする内容に更新
-
個人アカウントであっても、疑わしい投稿を報告するよう従業員に促す
同社は「通報が増えれば増えるほど、アカウントが削除される可能性が高まり、攻撃者の勢いを鈍らせることができます。警戒を怠らないことが、皆の安全につながります」と述べています。
翻訳元: https://www.infosecurity-magazine.com/news/fake-software-videos-tiktok-vidar/
