TokyoBlackHatNews

helpnetsecurity.com 4分で読了

TikTok・Instagram ReelsのフェイクSpotify Premiumチュートリアルがマルウェアを拡散

ReversingLabsの調査によると、サイバー犯罪者がTikTokやInstagram Reelsを悪用し、人気の有料ソフトウェアの偽ダウンロードを通じて情報窃取型マルウェア「Vidar」を拡散させていることが明らかになりました。

研究者たちは、この活動の背後にある2つのキャンペーンを特定しました。それぞれ異なる手口で視聴者を引き付け、外部のダウンロードサイトへ誘導しています。

1つ目のキャンペーンは、洗練されたグラフィックとナレーションを使った偽のソフトウェアインストールチュートリアルを中心としたものです。2つ目は、プレミアムソフトウェアを無料で入手できると謳う動画を大量に投稿して視聴者を集め、ダウンロード手順を含む特定のチュートリアルへ誘導する手法をとっています。

「どちらのアプローチも目的に向かう手段であり、その違いは攻撃者がソーシャルメディアのエンゲージメントをさまざまな角度から活用し、より多くの潜在的な被害者にリーチできることを示しています」と研究者たちは述べています。

偽ソフトウェアチュートリアルによるVidar配布

1つ目のキャンペーンでは、テクニカルサポートページを装ったアカウント群が活用されました。研究者たちは、「windows.tips」や「windows.insights」といった名称を使用し、Microsoftのブランディングに似た青と白のプロフィール画像を設定したアカウントを確認しています。

Image

悪意あるユーザーのプロフィール画像のスクリーンショット(出典:ReversingLabs)

これらのアカウントは、有料ソフトウェアを無料で利用する方法を解説する短いチュートリアル動画を投稿していました。ある動画では、Spotify Premiumをアンロックする方法として、WindowsメニューからPowerShellを起動し、特定のコマンドを実行するよう視聴者に指示していました。

「技術的な知識のないユーザーはそれが正当なものかどうか判断できず、本物だと思い込んでしまう可能性があります。攻撃者はまさにこの知識不足を利用しているのです」と研究者たちは指摘しています。

単純なソフトウェアの使い方として提示されていたこのコマンドは、実際にはVidarと識別されるファイルをダウンロードするものでした。

一部の動画は大きな注目を集めており、あるチュートリアルは100,000回以上の再生数を記録し、数千件の保存・シェア・いいねを獲得しました。

保存・シェア・コメントは、いいねよりも重みがあります。ユーザーがこれらのエンゲージメントを使う際はより慎重に判断するためで、これにより動画のレコメンドアルゴリズム上での表示優先度が高まります。

2018年に初めて確認されたVidaは、感染したデバイスから認証情報・金融情報・認証トークンを収集する情報窃取型マルウェアファミリーです。このマルウェアは2025年10月にアップデートが行われ、安定性と回避能力が向上しました。また、300ドルの永久ライセンスとしてサービスへのアクセス権が販売されていることも確認されています。

勧誘前のエンゲージメント構築

2つ目のキャンペーンは、より素朴な手法をとっていました。アカウントはSpotify Premiumなどのサービスのプレミアム機能が無料で利用できるようになったと謳う短い動画を投稿していました。

手順をすぐに説明するのではなく、ソフトウェアの入手方法を知りたければコメントを残すか他の投稿を見るよう視聴者に促す仕組みです。

その後、ユーザーはチュートリアル動画・ダイレクトメッセージ・アカウントプロフィールのリンクへ誘導され、フリーソフトウェアやゲーム、AIツールを宣伝するウェブサイトへと送り込まれます。

一部のサイトでは、約束されたダウンロードにアクセスする前に、アンケートへの回答や複数のリダイレクトを経由するよう求められます。

Image

Spotify Premiumのダウンロード画面。ダウンロードをアンロックするための5つのタスクが表示されている(出典:ReversingLabs)

研究者たちは必要なアンケートを完了できなかったため、リンク先から最終的に配布されるペイロードの特定には至りませんでした。

モデレーションという課題

悪意ある動画は、一度再生数を集め始めると封じ込めが難しくなります。

「悪意に気づいたユーザーが——自分で調査した結果であれ、実際に被害に遭った結果であれ——コメントで他のユーザーに警告しようとすることがあります。しかし、ほとんどのプラットフォームでは投稿者がコメントを削除したりコメントしたユーザーをブロックしたりできるため、注意深い攻撃者はこうした抵抗を封じることができます。」

コンテンツを報告しても、必ずしも削除につながるとは限りません。今回の調査では、一部の動画を詐欺としてInstagramに報告しようとしたところ却下され、コンテンツはユーザーからアクセスできる状態のまま残り続けました。

動画やアカウントが削除されたとしても、新しいアカウントがすぐに現れて同様のコンテンツを投稿し続けるため、対策は継続的な課題となっています。

ReversingLabsは、関連する活動を防御担当者が特定できるよう、各キャンペーンに関連する侵害の痕跡(IoC)のリストを公開しています。

翻訳元: https://www.helpnetsecurity.com/2026/06/11/vidar-infostealer-tiktok-instagram-reels-malware-campaigns/

ソース: helpnetsecurity.com
#Instagram Reels #PowerShell #ReversingLabs #Spotify Premium #TikTok #Vidar #サイバー攻撃 #ソーシャルメディア詐欺 #偽チュートリアル #情報窃取型マルウェア

関連記事

Proxmox、メールゲートウェイ9.1をリリース — 隔離機能とバックアップ暗号化を刷新

Oracle PeopleSoftサーバーへの攻撃が続発——Oracleが緊急セキュリティアラートを発行

FBI、中国の情報収集活動に関与したとされる13のウェブサイトを押収