TikTokやInstagram Reelsといったショート動画プラットフォームが、サイバー犯罪者によるマルウェア拡散の新たな舞台となっています。
攻撃者が従来のフィッシングメールから離れ、ユーザー自身にマルウェアをインストールさせる手口へ移行していることは、すでに報告されています。最新の手口では、Spotify Premiumの無料利用やWindowsのライセンス認証、Microsoft Officeの無料入手を約束する巧みなSNS動画でユーザーを誘い込み、Windowsデバイスにインフォスティーラーを感染させています。
ReversingLabsの研究者は、ショート動画を悪用してユーザーに危険なPowerShellコマンドを実行させたり、悪意のあるダウンロードサイトに誘導したりする2件の現行キャンペーンを発見しました。同様のキャンペーンは他の研究者や各国のサイバーセキュリティ機関からも報告されており、サイバー犯罪者がSNSのアルゴリズムをマーケターと同様に使いこなすようになりつつあるという新たなトレンドが浮かび上がっています。
TikTokやInstagram Reelsに投稿されたこれらの動画は、SNSらしく「あなたが気づいていない問題を解決する」という体裁をとっています。そして、動画の指示に従った結果、デバイスにマルウェアが送り込まれるという仕組みです。
詐欺の手口
最初のキャンペーンは、一見するとプロの制作物のように見えます。
「windows.tips」や「windows.insights」といった名前のアカウントがWindowsスタイルのブランディングを使用し、本物のテクニカルサポートコンテンツに見せかけた洗練されたチュートリアル動画を投稿しています。動画にはWindowsやOffice関連のキーワードがタグ付けされており、正規のトラブルシューティングやTipsコンテンツと並んで表示されるよう工夫されています。
動画ではSpotify Premium、Microsoft Office、Windowsを無料で利用できると謳い、視聴者をステップバイステップの手順に誘導します。その手順には、Windowsの正規管理ツールであるPowerShellを開いてコマンドを貼り付ける操作が含まれており、そのコマンドがマルウェアをダウンロード・実行します。これはかつて当ブログで取り上げたClickFix詐欺と非常によく似た手口です。
確認されたマルウェアはVidarと呼ばれるインフォスティーラーで、感染したデバイスから機密情報を窃取するために設計されています。Vidarが主に狙うのは以下の情報です。
- ブラウザに保存されたパスワード
- オートフィルデータ
- ブラウザのCookie
- 仮想通貨ウォレット
- 二要素認証(2FA)データ
- TORブラウザのデータ
窃取された情報は、攻撃者が管理するサーバーに送信されます。
身を守るために
TikTokを悪用した同様の攻撃に関する調査によると、こうしたスクリプトはWindows Defenderに除外設定を追加することが多く、セキュリティソフトによる将来の悪意ある活動の検出を困難にする場合があります。
幸い、自分を守るためのシンプルな方法がいくつかあります。
- ソフトウェアは必ず公式ベンダーのウェブサイトからのみダウンロードすること。
- 有料ソフトウェアの「無料版」「クラック版」「非公式版」には疑いの目を向けること。
- ウェブページの指示、特にデバイスでコマンドを実行したりコードをコピー&ペーストするよう求める指示には、よく考えてから従うこと。多くのClickFix系サイトはカウントダウンや偽のユーザーカウンターなどを使い、焦らせて素早く行動させようとします。
- ダウンロードしたファイルが期待通りのものと一致しているか確認すること。
- 実行前にファイルの発行元とデジタル署名を確認すること。Windowsでは通常、ファイルを右クリックしてプロパティ→デジタル署名で確認できます。有効な署名があっても安全とは限りませんが、署名がない場合や不審な署名は危険なサインであることが多いです。
- リアルタイムで最新のマルウェア対策ソリューションを使用し、インフォスティーラーなどのマルウェアが実行される前にブロックすること。
ヒント:動画、メッセージ、ウェブサイトが正規のものかどうか判断に迷う場合は、Malwarebytes Scam Guardに確認することをお勧めします。不審なコンテンツの識別や、次に取るべき対処法のアドバイスが受けられます。
画像提供:ReversingLabs
