AIがブラジルのWhatsApp攻撃のPython版を強化

出典：Lazy Llama（Alamy Stock Photo経由）

ブラジルの金融機関を標的とした自己増殖型マルウェアキャンペーンの攻撃者は、人工知能（AI）を活用し、高度な拡散・回避技術を備えたPython版を生み出すことで、悪意ある活動を加速・強化しています。

Water Saciは、ラテンアメリカの金融機関や暗号通貨取引所を侵害するためのキャンペーンであり、WhatsAppを介して配信される多層的な攻撃チェーンに進化しました。これはAI駆動のコード変換によって強化された可能性が高いと、Trend Microの研究者が水曜日に明らかにしました。

脅威アクターは、データを盗みマルウェアを通じてユーザーのデスクトップ活動を監視する最新の攻撃を、単純なパターンベースの検出を回避し、解析をより困難にするよう設計しています。彼らは以前のPowerShellによる拡散手法をPython版に切り替えることで、「より広範なブラウザ互換性、オブジェクト指向のコード構造、強化されたエラー処理、WhatsApp Webを通じたマルウェア配信の高速自動化」を実現したと、Trend Microの研究者は投稿で述べています。

Water Saciによる金融機関の標的化

このキャンペーンの最終的な目的は、被害者のマシンから盗んだ情報を使って様々な銀行や暗号通貨機関を標的とすることです。現在は主にブラジルで活動していますが、進化するにつれて他のラテンアメリカ諸国にも拡大する可能性があると研究者は述べています。

Water Saci全体は、「ブラジルにおけるサイバー脅威の新時代」を示しており、攻撃者は心理的戦術と自己増殖・従来のセキュリティ防御を回避する高度なマルウェア配信を組み合わせているといいます。同様の脅威としては、「Eternidade」キャンペーンもあり、こちらも銀行認証情報の窃取を目的としており、Water Saciと多くの類似点を持っています。

「親しみのあるコミュニケーションチャネルを武器化し、高度なソーシャルエンジニアリングを駆使することで、脅威アクターは被害者を迅速に侵害し、従来の防御を回避し、持続的なバンキングトロイの木馬感染を維持できる」と研究者は記しています。「このキャンペーンは、正規のプラットフォームがマルウェア配信の強力なベクターへと変貌し、地域におけるサイバー犯罪活動の高度化が進んでいることを浮き彫りにしています。」

AIとPythonによるマルウェアの強化

Trend Microの研究者は、発見当初からWater Saciを「攻撃的」なキャンペーンと特定しており、被害者の侵害されたアカウントに関連するすべての連絡先やグループに悪意あるZIPファイルを自動的に拡散するために、アクティブなWhatsAppセッションを利用しています。このキャンペーンの最終的なペイロードは「Sorvepotel」と呼ばれるマルウェアで、Windowsシステム全体に拡散し、ユーザーにデスクトップを開くよう促すメッセージを表示することから、企業を主な標的としていることが示唆されます。

最新の攻撃バリアントは、悪意あるZIPファイルだけでなくHTAファイルやMSIインストーラーなど、さまざまなファイルを拡散する堅牢な多段階感染チェーンを備えていると研究者は述べています。マルウェア配信の初期侵入点は、WhatsAppデスクトップユーザーが信頼できる連絡先からメッセージを受け取ったときに発生し、これが攻撃の引き金となります。

「一部のユーザーは、有害なペイロードを含むZIPファイルなどの圧縮アーカイブファイルを受け取ったと報告しています」と研究者は記しています。「他のユーザーは、一見無害なPDFドキュメントのダウンロードを促すメッセージで標的にされており、多くの場合、Adobe Readerの更新を求めるなど、もっともらしい誘い文句が添えられていました。」

また、攻撃者が大規模言語モデル（LLM）のようなAIツールを使い、マルウェア拡散スクリプトをPowerShellからPythonに変換したことも示唆されており、これがバッチメッセージング、エラー処理の改善、コンソール出力の強化など新たな機能につながったと研究者は付け加えています。

このバリアントには、WhatsAppを介した高度なPythonベースの自動化、解析回避策、堅牢な永続化メカニズムも含まれており、攻撃者が「検出を回避しつつ、感染システムへの長期的なアクセスを維持しながら最大限の拡散を図る」ことを可能にしていると記されています。

実践的なアプリ防御策

脅威アクターが複雑な攻撃キャンペーンを作成するためのAIベースのツールを多数手にしている今、防御側もそれに応じた対策を講じて現代の脅威に対抗する必要があります。Water Saciの場合、企業におけるWebアプリケーション利用の基本的な衛生管理の実践が、この戦略に大きく寄与すると研究者は指摘しています。

攻撃者が初期アクセスに一般的なチャットアプリであるWhatsAppを利用していることから、Trend Microは組織に対し、従業員がWhatsAppで自動ダウンロードを無効にすることを義務付け、悪意あるファイルへの偶発的な曝露を減らすよう推奨しています。

企業管理デバイスの場合、管理者はWhatsApp、Telegram、WeTransferなどの個人用アプリでのファイル転送の管理も行い、エンドポイントセキュリティやファイアウォールポリシーを使ってファイル転送をブロックまたは制限すべきです。組織がBYODをサポートしている場合、管理者は機密環境を保護するために厳格なアプリケーションホワイトリストやコンテナ化を徹底すべきだと研究者は付け加えています。

Water Saciや類似キャンペーンを軽減するために組織が検討できる他の制限策としては、企業デバイスでの個人用メールやメッセージングアプリへのアクセス制限、WebおよびメールゲートウェイでのURLフィルタリングによる既知の悪意あるC2やフィッシングドメインのブロックなどがあります。また、まだ一般的な慣行でない場合は、すべてのクラウドおよびWebサービスに対して多要素認証（MFA）とセッション衛生管理を徹底し、セッションハイジャックを防ぐべきだと研究者は述べています。