- Check Point Research、正規ソフトウェアを装ったRust製クリップボードハイジャッカーを配布するPRキャンペーンを発見
- フィッシングサイト、GitHub・SourceForgeのプロジェクト、偽YouTubeチャンネル、さらにはニュースワイヤーのプレスリリースまで動員して信頼性を演出
- マルウェアはクリップボード上の暗号資産ウォレットアドレスをすり替え、「ゴーストネットワーク」を使って検出回避のために評判システムを操作
ハッカーが、自ら配布するマルウェアを正規ソフトウェアに見せかけるため、本格的なマルチプラットフォームPRキャンペーンを展開していることが明らかになりました。専門家たちが警告を発しています。
Check Point Researchのレポートは、通常の事前調査を行っているユーザーであっても騙される可能性があると指摘しています。
このキャンペーンの核心にあるのは「クリップボードジャッカー」です。被害者のクリップボードを監視し、暗号資産ウォレットのアドレス文字列を検知すると、攻撃者が所有する別のアドレスにすり替える情報窃取型マルウェアです。その結果、被害者が別のウォレットへ送金しようとすると、代金が攻撃者に振り込まれてしまいます。WindowsとmacOSの両ユーザーが危険にさらされています。
ニュースワイヤーサイトの悪用
「脅威アクターは、Rust製クリップボードハイジャッカーを宣伝・配布するために複数のチャンネルを活用しています。専用フィッシングページを中心的な拠点とし、偽アカウントによって宣伝されたGitHubおよびSourceForgeのプロジェクトにまで展開しています」と同社は述べています。
「AIが生成したナレーターを使用し、不審な再生回数の急増や(組織的とみられる)高評価コメントを多数備えた専用YouTubeチャンネルが、人気と信頼性の幻想をさらに強固なものにしています。」
マルウェアを配布するにあたり、攻撃者はかなり積極的なPRキャンペーンを展開しました。専用フィッシングページに加え、GitHubおよびSourceForge上に複数のプロジェクトとアカウントを開設し、偽のYouTubeチャンネルも立ち上げています。しかし最も驚くべき点は、ニュースワイヤーサイトを通じてニュース記事を配信したことです。
ニュースワイヤーサイトとは、企業のプレスリリースや発表をメディア、ジャーナリスト、ウェブサイト、投資家に向けて配信するサービスです。多くのニュースワイヤーサービスは、通常有料で誰でもプレスリリースを投稿・配信できますが、一般的には信頼性の高いニュースソースとして認識されています。
その一方で、攻撃者はクリップボードジャッカーがマルウェアとして検知されないよう、さらなる手を打っています。多数の偽アカウント(いわゆる「ゴーストネットワーク」)を駆使してVirusTotalのような評判ベースのシステムを操作し、研究者や潜在的なユーザーに対してそのプログラムが誤検知であると思わせているのです。
「このキャンペーンが主に大企業を標的としていないとしても、攻撃者が被害者への到達に従来の古典的なマルウェア配布技術だけに頼らなくなっていることを示しています」と研究者たちは結論付けています。「攻撃者は評判システム、クラウドソーシングによるフィードバック、クロスプラットフォームでのプロモーションを巧みに操作することで、疑念を薄め、より多くのユーザーを引き寄せることができるのです。」
