(画像クレジット:Geralt / Pixabay)
- サイバー犯罪者が著作権侵害への恐怖を悪用し、日常的なオンライン空間にマルウェアを拡散
- Telegramボットが進化するマルウェア脅威の指令拠点として機能
- 偽の法律事務所が多言語で削除詐欺を仕掛け、マルウェアを配布
サイバー犯罪者は長年、被害者を操作する手段として「恐怖」に頼ってきましたが、著作権侵害の申し立ては、最近特に多用される手口の一つとなっています。
Cofense Intelligence の調査によると、攻撃者は正規の削除要請に見せかけたメッセージを複数のユーザーに送信していることが判明しました。
しかし、これらのメッセージの本当の目的は、法的圧力を装って マルウェア を送り込むことにあります。
欺瞞に満ちたキャンペーン
このレポートでは、「Lone None」と呼ばれるベトナムの脅威アクターが、法律事務所を装い、ターゲットのウェブサイトやSNSアカウントに著作権侵害コンテンツがあると主張するメッセージを送信するキャンペーンを展開していることが明らかにされました。
この攻撃活動の特徴は、多言語対応である点です。これは、機械翻訳や AIツール を活用し、各地域で説得力のあるテンプレートを生成していることを示唆しています。
被害者は、偽の著作権問題を解決するためと称してリンクをクリックするよう圧力をかけられますが、実際にはマルウェアのダウンロードページへ誘導されます。
この攻撃チェーンには、従来のフィッシングとは異なるいくつかの特徴があります。
一般的なホスティング手法に頼るのではなく、攻撃者はTelegramボットのプロフィールページ内にペイロード情報を埋め込んでいます。
そこから、ターゲットはDropboxやMediaFireなどの無料プラットフォームにホストされたアーカイブファイルへ誘導されます。
これらのアーカイブ内には、 PDFリーダー などの正規アプリケーションとともに、悪意のあるファイルが同梱されています。
マルウェアローダーは通常のWindowsプロセスを装い、難読化されたPythonスクリプトを使って永続化を確立し、追加コンポーネントを取得します。
よく知られたPureLogs Stealerに加え、Cofenseは「Lone None Stealer」または「PXA Stealer」と呼ばれる新種のマルウェアも確認しています。
このツールは暗号資産の窃取に特化して設計されており、コピーされたウォレットアドレスを攻撃者が管理するアドレスに密かに置き換えます。
攻撃者との通信はTelegramボットを通じて行われ、インフラの柔軟性と妨害の困難さを高めています。
現行のキャンペーンは情報窃取を主目的としていますが、同じ手法で将来的に ランサムウェア を配布することも十分に考えられます。
ホスト上の異常なPythonインストールなどの技術的な兆候は検知に役立ちますが、最も有効な防御策はやはり教育と警戒です。
高度な メールセキュリティ ツールと エンドポイント保護 を組み合わせることで、単なるフィルタリングだけでは防ぎきれない著作権詐称型キャンペーンにも強力な防御が可能となります。
