サイバーセキュリティ研究者は、DeepSite AIやBlackBox AIのような正規の生成AI搭載ウェブサイト作成ツールを利用し、ブラジル政府機関を模倣したフィッシングページを作成する新たなキャンペーンに注目を集めています。これは金銭目的のキャンペーンの一環です。
この活動は、ブラジルの州交通局や教育省を模倣した偽サイトを作成し、Zscaler ThreatLabzによれば、これらのサイトを通じて、何も知らないユーザーを騙して同国のPIX決済システムを使った不当な支払いをさせるものです。
これらの詐欺サイトは、検索エンジン最適化(SEO)ポイズニング技術を用いて人工的に可視性を高め、攻撃の成功率を上げています。
「ソースコードの解析により、開発者向けの過度に説明的なコメントや、本物のウェブサイトであれば機能するはずの非機能的な要素、そしてTailwindCSSスタイリングのような傾向など、従来の脅威アクターが使うフィッシングキットとは異なる生成AIツールの特徴が明らかになりました」とZscalerのJagadeeswar Ramanukolanu氏、Kartik Dixit氏、Yesenia Barajas氏は述べています。
攻撃の最終目的は、Cadastro de Pessoas Físicas(CPF)番号やブラジル納税者番号、居住住所などの機密個人情報を収集する偽のフォームを提供し、心理測定および医療試験の完了や就職オファーの取得を装って、PIXを通じて87.40レアル(約16ドル)の一回限りの支払いを脅威アクターに行わせることです。
キャンペーンの正当性をさらに高めるため、フィッシングページは段階的に追加情報を要求するなど、本物のウェブサイトの挙動を模倣した段階的なデータ収集を行うよう設計されています。収集されたCPF番号は、脅威アクターが作成したAPIを使ってバックエンドで検証されます。
「分析中に特定されたAPIドメインは脅威アクターによって登録されています」とZscalerは述べています。「APIはCPF番号に関連付けられたデータを取得し、フィッシングページに自動的に情報を入力します。」
同社はまた、攻撃者がデータ漏洩や認証キー付きで公開されたAPIを利用してCPF番号やユーザー情報を入手し、その情報を使ってフィッシングの信憑性を高めている可能性もあると指摘しています。
「これらのフィッシングキャンペーンは現在、比較的少額の金銭を被害者から盗んでいますが、同様の攻撃ははるかに大きな被害をもたらす可能性があります」とZscalerは述べています。
大量メール配信キャンペーンがEfimerトロイの木馬を拡散し暗号資産を窃取#
ブラジルはまた、大手企業の弁護士を装って悪意のあるスクリプト「Efimer」を配布し、被害者の暗号資産を盗むマルスパムキャンペーンの標的にもなっています。ロシアのサイバーセキュリティ企業Kasperskyによると、この大量メール配信キャンペーンは2025年6月に検出され、マルウェアの初期バージョンは2024年10月まで遡り、感染したWordPressサイトを介して拡散されていました。
「これらのメールは、受信者のドメイン名が送信者の権利を侵害していると偽って主張していました」と研究者のVladimir Gursky氏とArtem Ushkov氏は述べています。「このスクリプトには、攻撃者がWordPressサイトを侵害して悪意のあるファイルをホスティングするなど、さらなる拡散を助ける追加機能も含まれています。」
Efimerは、侵害されたWordPressサイトやメール経由で拡散するだけでなく、悪意のあるトレントも配布経路として利用し、コマンド&コントロール(C2)サーバーとはTORネットワーク経由で通信します。さらに、追加スクリプトでWordPressサイトのパスワード総当たり攻撃や、将来のメールキャンペーン用に特定ウェブサイトからメールアドレスを収集することも可能です。
「スクリプトはC2サーバーからドメインを受け取り、それぞれのウェブサイトページでハイパーリンクやメールアドレスを探します」とKasperskyは述べ、ターゲットサイトのコンタクトフォームに情報を入力するスパムモジュールとしても機能すると指摘しています。
Kasperskyが記録した攻撃チェーンでは、メールにはZIPアーカイブが添付されており、その中にもう一つのパスワード保護されたアーカイブと、パスワードを指定する名前の空ファイルが含まれています。2つ目のZIPファイル内には悪意のあるWindows Script File(WSF)があり、実行されるとEfimerに感染します。
同時に、被害者には「このデバイスではドキュメントを開けません」というエラーメッセージが表示され、注意をそらされます。実際には、WSFスクリプトが「controller.js」(トロイの木馬コンポーネント)と「controller.xml」という2つのファイルを保存し、「controller.xml」から抽出した設定を使ってホスト上にスケジュールタスクを作成します。
「controller.js」はクリッパーマルウェアで、ユーザーがクリップボードにコピーした暗号資産ウォレットアドレスを攻撃者のウォレットアドレスに置き換えるよう設計されています。また、スクリーンショットの取得や、C2サーバーから受信した追加ペイロードの実行も可能で、感染PCにTORプロキシクライアントをインストールした後、TORネットワーク経由で接続します。
Kasperskyは、クリッパー機能に加え、アンチVM機能やGoogle ChromeやBraveなどのウェブブラウザでAtomic、Electrum、Exodusなどの暗号資産ウォレット拡張機能をスキャンし、検索結果をC2サーバーに送信する第2バージョンのEfimerも発見したと述べています。
このキャンペーンによる影響は、Kasperskyのテレメトリによると5,015人に及び、感染の大半はブラジル、インド、スペイン、ロシア、イタリア、ドイツ、英国、カナダ、フランス、ポルトガルに集中しています。
「主な目的は暗号資産ウォレットの窃取とすり替えですが、追加スクリプトを利用してWordPressサイトを侵害しスパムを配信することも可能です」と研究者らは述べています。「これにより、完全な悪意あるインフラを構築し、新たなデバイスへの拡散が可能となります。」
「このトロイの木馬のもう一つの興味深い特徴は、個人ユーザーと企業環境の両方で拡散を試みる点です。前者の場合、攻撃者は人気映画のダウンロードを装ったトレントファイルを餌にし、後者では他社が登録した単語やフレーズの無断使用に関する主張を送信します。」
翻訳元: https://thehackernews.com/2025/08/ai-tools-fuel-brazilian-phishing-scam.html