サイバー犯罪者たちは、TikTokやInstagram Reelsといったショートビデオプラットフォームをマルウェア配布の手段として積極的に活用するようになっています。
従来のフィッシングメールから脱却した脅威アクターたちは、人気ソーシャルメディアアプリのアルゴリズムを逆手に取り、無防備なユーザーを自ら自分のシステムを危険にさらすよう巧みに誘導しています。
これらの完成度の高い動画キャンペーンは、Spotify Premiumの無料利用、Windowsの不正アクティベーション、Microsoft Officeの無償ライセンス取得といった魅力的なソフトウェア特典を約束する内容となっています。
しかし実際にはプレミアムサービスが提供されることはなく、これらの悪意ある解説動画はユーザーを騙し、危険な情報窃取型マルウェアをWindowsデバイスにインストールさせます。
攻撃者はショート動画の拡散力を巧みに利用し、悪意あるダウンロードサイトへの誘導や、有害なコマンドの直接実行をユーザーに行わせることに成功しています。
かつて脅威アクターは、悪意ある添付ファイルを配布するために大規模なメールスパムキャンペーンに大きく依存していました。しかし現在、その手口は大きく様変わりしています。
各国のサイバーセキュリティ機関や独立した研究者たちは、攻撃者が企業のメールゲートウェイを完全に回避し、ユーザーが気軽に動画を閲覧する時間帯を狙うためにビデオプラットフォームを利用するという傾向が拡大していることを確認しています。
こうしたソーシャルメディア詐欺の仕組みは、ソーシャルエンジニアリングとプロフェッショナルなブランディングを巧みに組み合わせたものです。
脅威アクターたちは「windows.tips」や「windows.insights」といった一見正規のアカウント名を使用し、盗用したWindowsのブランドイメージを活用して視聴者の信頼を素早く獲得します。
さらに、洗練された編集が施されたチュートリアル動画を投稿し、正規のトラブルシューティングやテクニカルTipsのコンテンツ群に自然に溶け込むよう工夫されています。
最大限の拡散を確保するため、これらの動画には関連するハッシュタグやキーワードが徹底的に最適化されており、サイバー犯罪者はデジタルマーケターと同様に巧みにプラットフォームのレコメンドエンジンを利用しています。
動画の中でユーザーは、プレミアムソフトウェアを解放するためのステップバイステップの手順を提示されます。決定的な詐欺は、チュートリアルが被害者に対してWindowsの強力な正規管理ツールであるPowerShellを開くよう指示する場面で発生します。
続いて動画は、特定のコマンドをコピーしてターミナルに貼り付けるよう促します。
被害者が気づかないまま、これらのスクリプトを実行すると悪意あるペイロードがバックグラウンドで静かにダウンロード・起動されます。この手口は、最近話題のClickFix詐欺と非常によく似たものです。
これらのキャンペーンで主に使用されるペイロードは、悪名高く極めて効果的な情報窃取マルウェア「Vidar」です。実行されると、Vidarは感染したWindowsデバイス内の機密データを即座に探し始めます。
重要な情報を収集し終えると、マルウェアは盗んだデータを攻撃者のコマンド&コントロールサーバーに密かに送信します。
Malwarebytesの調査によると、この攻撃はプリインストールされたシステムツールを悪用することで、悪意ある活動を通常の操作に紛れ込ませています。
そのため、基本的なウイルス対策プログラムが正規の管理タスクと有害なスクリプトを区別することは著しく困難になっています。
さらに脅威アナリストたちは、最初のPowerShellスクリプトがWindows Defenderに特定の除外設定を追加し、感染が検知されないよう確保することが多いと指摘しています。
こうした現代的なソーシャルメディア主導の攻撃から身を守るには、技術的な警戒と適切な懐疑心を組み合わせることが求められます。
翻訳元: https://cyberpress.org/fake-spotify-tutorials-infect/
