「ボス詐欺」がDLLサイドローディングでWhatsApp Webを乗っ取り、企業を詐取

新たな「ボス詐欺(Boss Scam)」は、CEO詐欺の大幅な進化形です。攻撃者はなりすまし、Windows DLLサイドローディング、そしてWhatsApp Webのセッション窃取を組み合わせ、信頼された経営幹部のコミュニケーションチャネルを詐欺インフラへと変えています。

このキャンペーンは、インドのI4CおよびNCTAUが発出したアドバイザリで警告されています。攻撃者は規制当局や上級幹部になりすまし、悪意のあるアーカイブファイルを送り付けた後、侵害したアカウントを使って不正な送金指示を送りつけるとされています。

技術的な観点から見ると、この攻撃チェーンはスピードとステルス性を重視した設計になっています。被害者はEXEファイルとDLLファイルを含むZIPファイルを受け取ります。EXEが起動されると、Windowsは同じディレクトリから悪意のあるDLLを読み込みます。これはサイドローディングの典型的な手口であり、マルウェアが正規プログラムに紛れ込んでファイルベースの基本的な防御をすり抜けるのに役立っています。

攻撃の核心はまずソーシャルエンジニアリングであり、マルウェアはその次に来ます。メッセージには緊急の規制対応が必要だという主張が多く、経営幹部や財務担当者が内容を精査することなくファイルを開いて社内に転送するよう心理的に追い詰めます。

エンドポイントへの侵入に成功すると、このマルウェアの目的はランサムウェアのような業務妨害ではありません。代わりに、アクティブなWhatsApp Webのセッションと認証情報を探し出します。これにより攻撃者側でセッションを複製し、モバイルのMFAを突破することなく、経営幹部になりすましてメッセージを閲覧・送信することが可能になります。

これが深刻な理由は、財務チームが既知の経営幹部のプロフィールから届いたように見えるメッセージをしばしば無条件で信頼するからです。特にチャネルがWhatsAppで、リクエストが緊急案件として提示されている場合はなおさらです。

Cyber Affairsによると、攻撃者は乗っ取ったWhatsApp Webセッションを使って従業員に送金指示を送ります。その文面は実際の経営幹部のトーンやタイミングを巧みに模倣していることが多いといいます。

ボス詐欺とDLLサイドローディング

変種によっては、マルウェアがローカルの連絡先データを改ざんし、攻撃者が管理する電話番号をCEOの名前で保存するケースもあります。これにより、Webセッションが検出されてログアウトされた後も、なりすましが継続します。

攻撃者はメールやWhatsAppを通じてC-suiteの経営幹部や高位の役職者に接触し、インド準備銀行(RBI)などの規制機関になりすまします。

Image

その結果、技術的な侵害がビジネスプロセスの拠り所とする信頼シグナルを生み出す、ハイブリッドなBEC(ビジネスメール詐欺)攻撃が成立します。

このキャンペーンが特に注目される理由は、企業防御の最も脆弱な接点、すなわち個人のメッセージング、経営幹部の権限、そして支払い承認ワークフローが交わる部分を正確に狙っているからです。

また、「安全な添付ファイル」に関する時代遅れの思い込みが依然として通用しないことも示しています。特に、未検証のEXEやDLLファイルがダウンロードフォルダやAppDataといったユーザーディレクトリから実行できる状態にある場合はなおさらです。

実際には、侵害された1台のエンドポイントが、組織全体の詐欺中継地点になりかねません。

防御策も同様に多層的である必要があります。I4Cのガイダンスでは、緊急送金には必ずアウトオブバンド(別チャネル)での確認を行うこと、銀行口座の変更には直接の音声または対面での確認を行うこと、そしてWhatsApp経由で送られてくる未要請のソフトウェアアップデートやコンプライアンスツールは即座に拒否することが強調されています。

企業はソフトウェア制限ポリシーを徹底し、不審なDLL読み込みやトークン窃取の動作を監視するとともに、経営幹部のスマートフォンに登録されているWhatsAppの「リンクされたデバイス」を定期的に監査する必要があります。

防御側にとって参考になるのは、WhatsApp Webのセッションデータを拡散に悪用する他のマルウェアファミリーに見られる広範なトレンドです。これは、この手法が一度限りの戦術ではなく、繰り返し使われる悪用パターンとして定着しつつあることを裏付けています。

より大きな教訓はシンプルです。経営幹部を狙った詐欺は、もはやメールだけの問題ではありません。攻撃者が経営幹部のメッセージングIDそのものを乗っ取れるようになった今、セキュリティチームはWhatsApp Web、エンドポイントの実行制御、そして支払い検証を、一つの連続した攻撃対象領域として捉えなければなりません。

翻訳元: https://gbhackers.com/boss-scam-uses-dll-sideloading/

ソース: gbhackers.com