TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

Facebookビジネスアカウントを狙うフィッシング詐欺で新たなインフォスティーラーを発見

Unit 42の研究者は、新たに特定されたインフォスティーラーの亜種を用いてFacebookビジネスアカウントを乗っ取ることを目的とした、別のフィッシングキャンペーンを発見しました。

この新しいキャンペーンは、ベトナム出身の脅威アクターによるものとみられており、過去1年で広告詐欺などを目的にFacebookビジネスアカウントを狙う攻撃者が増えている傾向の一部です。ベトナムとの関連は、Pythonスクリプト内の多くの文字列がベトナム語で書かれていることなど、複数の要因に基づいています。

良いニュースとして、この特定のキャンペーンは現在は活動していないとみられています。しかしUnit 42は、背後の脅威アクターが今後も同様の手法を用いてFacebookビジネスアカウントの乗っ取りを継続する兆候があるとし、「個人と組織の双方にとって大きなリスクをもたらす」と述べました。

これには、標的に対する金銭的損失や評判の毀損に加え、ブラウザから盗まれた認証情報を用いたさらなる攻撃の実行も含まれます。

このキャンペーンで配布されたインフォスティーラーは、2023年初頭にMetaが特定して停止させたNodeStealer亜種と「複数の類似点」を共有しています。NodeStealerは、悪意のあるブラウザ拡張機能、広告、ソーシャルメディアプラットフォームを通じて個人を標的にし、侵害されたビジネスアカウントから不正な広告を配信することを目的としていました。

Unit 42が発見した新しいインフォスティーラー亜種には、Facebookビジネスアカウントを完全に乗っ取る能力に加え、特に暗号資産の窃取やダウンローダー機能など、脅威アクターに利益をもたらす追加機能が備わっています。

「NodeStealer 2.0」の仕組み

研究者によると、彼らが「Nodestealer 2.0」と呼ぶこのインフォスティーラーで被害者を狙う主要な手法は、2022年12月頃に行われたフィッシングキャンペーンでした。これは主に企業向けの広告素材を中心としたもので、複数のFacebookページやユーザーが、既知のクラウドファイルストレージ提供者からリンクをダウンロードさせるよう被害者を誘導する情報を投稿していました。

クリックすると、悪意のあるインフォスティーラー実行ファイルを含む.zipファイルがユーザーのデバイスにダウンロードされます。

このキャンペーンでは、いずれもPythonで書かれた2つのマルウェア亜種が使用され、Unit 42はそれらを亜種#1および亜種#2と命名しました。

  • 亜種#1: このバージョンは複数のプロセスを作成し、ユーザーに表示されるポップアップウィンドウなど、「異常な活動の兆候と見なされる多くの動作」を実行します。機能には、Facebookビジネスアカウント情報の窃取、追加マルウェアのダウンロード、MetaMaskの認証情報にアクセスすることによる暗号資産の窃取が含まれます。
  • 亜種#2: 亜種#1とは異なり、このバージョンは標的ユーザーに見える活動をあまり生成せず、脅威アクターは製品名として「Microsoft Corporation」を使用していました。また、Facebookアカウントの乗っ取りを試みる、解析回避機能を実装する、メールを窃取するなど、もう一方の亜種の能力を超える動作も行います。

拡大する標的としてのFacebook

Unit 42は、同社の分析がFacebookアカウントを狙う脅威アクターの増加傾向の一部であると述べました。これは2022年7月、「Ducktail」と呼ばれるベトナム拠点のハッキング作戦の発見により初めて明らかになりました。2022年11月、同社はこのキャンペーンの新たな展開として、Facebookの広告およびビジネスプラットフォーム上で活動する個人や企業を標的にする動きがあると説明しました。

2023年3月、GuardioはFacebookのセッションクッキーを盗むよう設計された偽のChatGPT Chrome拡張機能の新亜種を報告しました。

DucktailやNodeStealerと同様に、Unit 42が発見した最新のマルウェアも、ベトナムに拠点を置く脅威アクターに由来すると疑われています。

Unit 24のブログ投稿では、Facebookビジネスアカウントを持つ組織に対し、保護ポリシーを見直し、今後同様の脅威を軽減するためにレポートで提供されている侵害指標(IoC)を使用するよう助言しました。

「Facebookビジネスアカウントの所有者は、強力なパスワードを使用し、多要素認証を有効にすることが推奨されます。特に、時事問題やビジネス上のニーズ、その他の魅力的な話題に便乗する現代的で標的型の手口など、フィッシングの戦術について組織内で教育を行う時間を確保してください」と記されています。

画像クレジット: BigTunaOnline / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/infostealer-phishing-facebook/

ソース: infosecurity-magazine.com
#Facebookビジネスアカウント乗っ取り #MetaMask資格情報窃取 #NodeStealer 2.0 #Pythonマルウェア #フィッシング詐欺 #ベトナム系脅威アクター #多要素認証(MFA) #広告詐欺(アドフラウド) #情報窃取型マルウェア(インフォスティーラー) #暗号資産窃取(クリプトスティーラー)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新