ソーシャルメディアのアルゴリズムは、ユーザーが見たいコンテンツを的確に届けるよう設計されています。しかし今、脅威アクターはこの仕組みを逆手に取り、マルウェアを拡散する手段として悪用しています。
TikTokやInstagram Reelsといった短尺動画プラットフォームを活用し、攻撃者はSpotifyやMicrosoft Wordなどのプレミアムソフトウェアを無料で入手できると謳う偽チュートリアル動画を拡散しています。
しかし実際には、便利なツールが手に入るどころか、情報窃取型マルウェアに感染したり、延々と続くアンケート詐欺の罠にはまったりするケースが後を絶ちません。
この新たな脅威は、攻撃者が従来のメールフィッシングの枠を超え、バイラルなSNSコンテンツへの信頼を巧みに利用するようになっていることを示しています。
攻撃者は現在、SNS上でマルウェアを配布するために2種類の手法を使い分けています。1つ目は、公式テクニカルサポートアカウントを装った、クオリティの高いチュートリアル動画を使う手法です。
AIが生成した音声ナレーションと盗用したブランドロゴを組み合わせ、ユーザーにWindows PowerShellを起動させ、特定のコマンドを実行させるよう誘導します。
攻撃者は被害者に対し、iEX iRMコマンドを実行させ、msget[.]runのように一見正規に見えるドメインからスクリプトを取得させます。
この手順に従った被害者は、最終的にVidarstealerに感染します。Vidarstealerとは、認証情報・金融データ・ブラウザトークンを大量に窃取するMaaS(Malware-as-a-Service)型の強力なマルウェアです。
2つ目の手法は、洗練さよりも純粋な興味を引くことを狙ったものです。脅威アクターは、トレンドの音楽を流しながら「無料」のプレミアムソフトウェアの機能を披露するカジュアルな動画を投稿します。
こうした動画を見た視聴者は自然と「どうやって高価なアプリを無料で手に入れたのか」と質問してしまいます。SNS型マルウェアから身を守るには、組織がセキュリティ意識教育に取り組む姿勢を根本から見直す必要があります。
従来のフィッシング対策トレーニングはメールやSMSに重点を置くことが多く、SNSの「役立つアドバイス」に偽装した詐欺に対してはユーザーが無防備なままになりがちです。
セキュリティチームは、未検証のターミナルコマンドを実行することや、審査を経ていないSNSのリンクからソフトウェアをダウンロードすることの危険性について、従業員教育プログラムを早急に更新する必要があります。
脅威はいつどこでも発生し得ること——業務用デバイスで個人アカウントを閲覧しているときでさえも例外ではないことを認識することが不可欠です、とReversingLabsは指摘しています。
攻撃からネットワークを守るうえで、技術的な防御策も同様に欠かせません。
組織はユーザー権限を定期的に監査し、従業員が社内端末に悪意あるソフトウェアを誤ってインストールしないよう、インストール権限を厳格に制限することが求められます。
悪質な動画をSNSプラットフォームに報告することは常に推奨されますが、人手によるモデレーションの対応は一貫性に欠けることで知られており、感染が広まるのを防ぐには往々にして遅すぎます。
悪意あるアカウントが削除される頃には、攻撃者はすでにターゲット層にリーチし終えており、新しいプロフィールを簡単に作成して活動を続けることができます。
注意: 記事中のIPアドレスおよびドメインは、誤った名前解決やハイパーリンクの生成を防ぐため、意図的に無害化処理(例:[.])を施しています。再有効化はMISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
翻訳元: https://cyberpress.org/viral-reels-spread-malware/
