- TikTok・Instagram Reelsが標的攻撃の新たな舞台に
- 節約志向のユーザーを狙う”無料”のSpotify・Microsoft・Adobe購読詐欺
- ソーシャルエンジニアリングは依然トップの攻撃経路だが、基本的なアカウントセキュリティ対策で大部分は防御可能
ReversingLabsの新たなレポートが、TikTokやInstagram Reelsといったショートフォームプラットフォームでパスワード窃取マルウェアを拡散する動画について警告を発しています。動画をひたすらスクロールしているユーザーが主な標的となっています。
これらの動画は通常、Spotify Premium、Windows、Office、Adobeといったサブスクリプションへの無料アクセスを謳うもので、何かがおかしいと気づかせる典型的な危険信号を含んでいます。
フィッシングメールを受け取る代わりに、被害者はPowerShellなどのコマンドラインツールを開き、動画に表示されたコマンドを貼り付けて実行するよう誘導されます。
情報窃取マルウェアへの警戒を
コマンドを実行すると、マルウェアが被害者のコンピューターにダウンロード・インストールされます。情報窃取型マルウェア「Vidar」は、ユーザー名、パスワード、Cookie、セッショントークン、暗号資産ウォレットのデータ、個人ファイルや文書、その他の機密情報を標的とします。
しかしそれ以上に注目すべきは、この手口が攻撃の大きな変化を示している点です。これまでは、リンクをクリックするだけで被害につながりかねないメールフィッシングキャンペーンが非常に一般的な手口として広く使われてきました。この新たな手法では、被害者が自らコマンドをツールに入力する必要があるため、攻撃者側にもより多くの工夫が求められます。
結局のところ、この攻撃は現在の経済的な逼迫感と、人気サブスクリプションの安価・無料の代替手段を求めているという消費者心理を巧みに利用したものです。
「この種のソーシャルエンジニアリングは、脅威アクターがソーシャルメディアからトラフィックを誘導し、攻撃者が管理する悪意あるウェブサイトへ誘い込む手軽な手段です」と研究者らは記しています。
いずれにせよ、全体的な傾向として、ソーシャルエンジニアリングは依然として攻撃者が被害者にアクセスする最も明確な経路であることに変わりはありません。しかしこれは実は好材料でもあります。潜在的な被害者が実践できる基本原則が数多く存在するからです。たとえば、多要素認証を活用してアカウントを保護することが有効な対策として挙げられます。
不審なほど安価または無料の製品・サービスには疑いの目を向け、ソフトウェアは公式ベンダーからのみダウンロードするよう心がけることも、今回のような攻撃への有効な防衛策となります。
