Solar Groupの一部門であるサイバー脅威研究センター「Solar 4RAYS」のサイバーセキュリティ専門家が、「Webrat」と呼ばれる危険な新種のマルウェアを発見しました。
この高度な脅威は、多機能なリモートアクセスツール(RAT)および情報窃取型マルウェアとして確認されており、人気のコードリポジトリや動画配信プラットフォームを利用した欺瞞的なソーシャルエンジニアリングキャンペーンを通じて、被害者を積極的に狙います。
Solar 4RAYSの調査によると、Webratは2025年1月に初めて出現し始め、初期の亜種はクローズドなダークウェブのチャネルで取引されていました。
このマルウェアは、感染したシステムに対して攻撃者に広範な制御権を与える一方で、機密性の高い個人情報や金融データを密かに流出させるよう設計されています。
主な機能には、デスクトップ画面のキャプチャやウェブカメラへのアクセスによる被害者の監視が含まれ、脅威アクターがユーザーの活動をリアルタイムで把握できるようになります。
Webratの背後にいる運用者は、ゲームコミュニティやソフトウェアの回避策を探すユーザーを狙った、非常に効果的な配布戦略を採用しています。
このマルウェアは、Rust、Counter-Strike、Robloxといった人気ビデオゲームで不正な優位性を得るための「チート」ソフトとして偽装されることが多いです。
さらに攻撃者は、地域的なソフトウェア制限も悪用しています。Discordのような正規アプリが禁止されている場合(例:ロシア)には、Webratをアクセスを復旧させると主張する「パッチ」またはユーティリティとしてパッケージ化します。これらの悪意あるファイルは、以下を通じて配布されます:
- GitHubリポジトリ: 攻撃者はプラットフォーム上にマルウェアをホストし、技術志向のユーザーの信頼を得るために、オープンソースツールや概念実証(PoC)エクスプロイトを装うことがよくあります。
- YouTubeコメント: 攻撃者はチートやパッチのインストール方法に関する動画チュートリアルを投稿し、コメント欄にマルウェアアーカイブへのリンクを残します。
- 海賊版ソフトウェアサイト: クラック版ソフトの一般的なリポジトリが、追加のホスティング場所として利用されます。
技術的機能とリスク
インストールされると、Webratは強力な窃取型マルウェアとして機能します。Steam、Telegram、Discordなどのプラットフォームのログイン認証情報に加え、暗号資産ウォレットも標的にします。
データ窃取にとどまらず、このマルウェアは被害者のユーザーインターフェース(UI)を完全に制御し、攻撃者がデスクトップを操作したり、暗号資産マイナーなどの追加ペイロードをダウンロードしたり、セキュリティソフトを無効化するブロッカーをインストールしたりできるようにします。
Solar 4RAYSの専門家は、影響が金銭的損失にとどまらないと警告しています。盗まれたデータは、脅迫や「スワッティング(swatting)」に利用されていると報告されています。スワッティングとは、攻撃者が偽の通報で警察を動かし、被害者の所在地に緊急対応部隊を出動させる嫌がらせ手法です。
研究者が監視した議論によれば、悪意あるアクターはすでにこれら特定の威嚇目的でWebratを使用していることが示唆されています。
緩和策
ゲーマーが主な標的である一方、この脅威は企業環境にとっても重大なリスクをもたらします。
従業員が業務端末で海賊版ソフトや未承認の「パッチ」をダウンロードすると、意図せずWebratを企業ネットワークに持ち込み、機密性の高い社内会話や企業データが侵害される可能性があります。
これらのリスクを軽減するため、Solar 4RAYSは、組織および個人に対し、高度なアンチウイルスソリューションを利用し、信頼できない提供元やコメント欄のリンクからソフトウェアをダウンロードすることを厳格に避けるよう助言しています。
翻訳元: https://gbhackers.com/webrat-malware/
