TikTokやInstagram Reelsといった短尺動画プラットフォームが、インフォスティーラーの拡散経路として急速に台頭しています。脅威アクターたちは、クオリティの高いチュートリアル風の動画を活用し、Windowsユーザーを騙して悪意あるコードを実行させる手口を取っています。
攻撃者はWindowsを想起させる名称やブランドでアカウントを作成し、本物のサポートやハウツーコンテンツを巧みに模倣した、制作クオリティの高い短尺動画を投稿します。
投稿には関連するタグやキーワードが最適化されており、正規のトラブルシューティングコンテンツと並んで表示されるよう設計されています。これにより、プラットフォームのレコメンドアルゴリズムを通じて広範なユーザーにリーチしています。
ソーシャルエンジニアリングの手口は単純でありながら効果的です。視聴者は管理者権限でPowerShellを開き、コマンドを貼り付けるか、リンク先のダウンロードページへ誘導されます。
これらの手順は「アクティベーション」や「修正」に必要な操作として提示されていますが、実際には正規のソフトウェアやプレミアムサービスをインストールするのではなく、マルウェアをダウンロードして実行させるものです。
ReversingLabsによる最新の調査報告(Malwarebytesも裏付け)や、業界・各国のサイバーセキュリティ機関のアドバイザリーによると、Spotify・Microsoft Office・Windowsの「アクティベーション」や「無料プレミアム化」を装った動画キャンペーンが確認されており、最終的にVidaインフォスティーラーなどのペイロードを配信するものと報告されています。
技術的な分析によると、これらのキャンペーンは定番ながら強力な手法に依存しています。PowerShellコマンドは多くの場合、中間スクリプトや実行ファイルをダウンロードしてWindows Defenderを無効化または除外設定に追加し、その後インフォスティーラーを取得させます。
WindowsとOfficeの不正アクティベーション動画
今回の攻撃で確認されたVidarは、多機能な情報窃取型マルウェアです。ブラウザに保存された認証情報、自動入力データ、Cookie、暗号資産ウォレットのデータ、TORブラウザのプロフィール、さらには二要素認証に関連するデータまで幅広く収集します。
窃取されたデータは攻撃者が管理するC2(コマンド&コントロール)インフラに送出され、販売または直接悪用されます。ソーシャルメディアを利用した同様の戦術は過去のキャンペーンでも見られており、パターンは一貫しています。短尺動画による初期接触、素早い行動を促す心理的圧力、そして汎用スティーラーのリモート配信という流れです。
このキャンペーンには、特筆すべき点が二つあります。第一に、攻撃者が従来のメールフィッシングから離れ、短尺・エンゲージメント重視のコンテンツとアルゴリズムによる拡散を活用できるプラットフォームへとシフトしていることです。最小限の労力で大規模な露出を実現できます。
第二に、PowerShellのようなOS標準ツールの悪用とアンチウイルス無効化ルーティンの組み合わせにより、複雑な脆弱性悪用が不要になっている点です。ソーシャルエンジニアリングと正規の管理チャネルだけで感染経路が完成してしまいます。
ReversingLabsの情報開示とMalwarebytesの過去の報告は、このモデルが再現・拡張可能であることを示しています。つまり、他のソフトウェアを標的とした不正「アクティベーション」ガイドや偽クーポン提供といった模倣キャンペーンや亜種が今後も増加する可能性が高いと言えます。
防御側のユーザーには、実践的で具体的な対策が求められます。ユーザーレベルでは、ソーシャルメディアから指示されたコマンドの貼り付けや実行は絶対に行わないこと、非公式のアクティベーションや「クラック」ソフトウェアを避けること、アプリケーションはベンダーの公式サイトや信頼できるアプリストアからのみダウンロードすることが重要です。ダウンロードしたインストーラーのデジタル署名を必ず確認し、明確な発行元が存在しないファイルには十分な注意が必要です。
認証情報の窃取に備え、強力で固有のパスワードを使用し、ハードウェアベースまたはアプリベースの二要素認証を導入してください。
技術的な制御の観点からは、アプリケーションの許可リストを徹底し、PowerShellの実行ポリシーを制限してネットワーク境界でのスクリプトベースのダウンロードをブロックすること、そしてエンドポイント保護プラットフォームをシグネチャ照合だけに頼らず、振る舞いベースの指標(Defenderの除外設定の作成、異常なプロセスインジェクション、認証情報窃取の挙動など)を検知できるよう設定することが重要です。
組織は短尺動画プラットフォームも脅威の一部として捉え、フィッシングおよびソーシャルエンジニアリングに関するセキュリティ意識向上トレーニングに組み込む必要があります。
セキュリティチームは、これらのプラットフォームでブランドや製品に関連するキーワードを積極的に検索し、不審なアカウントを報告することが推奨されます。
短尺動画の利便性と拡散力は、正規のクリエイターにとっても、日和見的な攻撃者にとっても魅力的です。Vidarのようなインフォスティーラーが何気ない動画視聴を完全な侵害へと転化させないためには、情報を持つユーザー、より厳格なエンドポイント制御、そしてソーシャルメディアを悪用した攻撃パターンの継続的な監視という三位一体の対策が不可欠です。
翻訳元: https://gbhackers.com/fake-windows-and-office-activation-videos/
