概要:巧妙化するマルウェア配布手口
サイバー犯罪者たちは、信頼されているブランド名を悪用し、欺瞞的なURLやグループメッセージングを通じてマルウェアを配布する新たなキャンペーンを展開しています。特に過去1ヶ月間で、この手口による感染が急増しており、ユーザーの警戒が求められます。
欺瞞的なURLとグループメッセージングの悪用
攻撃者は、ユーザーが信頼する企業(FedExやMicrosoftなど)のブランド名をURLに組み込むことで、正規のリンクであるかのように見せかけます。具体的には、ブランド名@悪意のあるドメインのような形式でURLを作成し、ユーザーを騙します。しかし、実際の悪意のあるドメイン(例:soogb[.]xin)は、トロイの木馬化されたアプリやインストーラーをダウンロードさせ、バックドアや認証情報窃取ツールを密かにインストールします。
また、グループテキストメッセージ詐欺も多用されています。複数の受信者に同時にメッセージを送信し、あたかも広範囲な配送遅延や緊急サービス更新であるかのように装います。受信者は、自分以外の電話番号もグループスレッドに表示されることで、メッセージの正当性を誤認しやすくなります。例えば、「FedEx® Ground Reschedule Your Shipment Delivery」と称するメッセージで、配送追跡リンクをクリックさせ、リモートアクセス型トロイの木馬をダウンロードさせる事例が確認されています。
戦略的に「熟成」されたホスト名と高度な技術
URL操作に加え、脅威アクターはドメイン名を数ヶ月前から登録し、「熟成」させることで、レピュテーションベースの防御を回避しています。これにより、スパムフィルターやエンドポイント保護プラットフォームに対して、より信頼できるドメインであるかのように見せかけます。キャンペーン開始時には、これらのドメインは自動的なテイクダウンやフラグ付けを避けるのに十分なほど成熟しているのです。
さらに、攻撃者はRCS(Rich Communication Services)プロトコルの機能を悪用し、Androidデバイス上で企業ロゴや正規アプリを模倣した洗練されたユーザーインターフェースを表示させます。SMS送信者IDも正規の企業番号に偽装され、受信者の疑念をさらに払拭します。
マルウェアのペイロードと影響
ユーザーが欺瞞的なURLをクリックすると、配送確認アプリやカスタマーサポートユーティリティを装ったAndroid APKまたはWindowsインストーラーのダウンロードを促されます。これらのインストーラーは、舞台裏でキーロガーやOrcus RAT、Cerberus Androidマルウェアなどのリモートアクセスツールを展開します。これにより、SMSメッセージ、認証トークン、連絡先リストなどが窃取される可能性があります。初期分析では、一部のペイロードには二要素認証コードを傍受するモジュールや、被害者の連絡先リストを通じて自動的にグループメッセージ招待を送信し、拡散する機能も含まれていることが示されています。
推奨される対策
この新たな脅威から身を守るために、組織および個人は以下の対策を講じるべきです。
- URL内の「@」記号による難読化を検出するディープURL分析を実行するモバイルセキュリティソリューションを導入する。
- 新規作成されたドメインや使用頻度の低いドメインへのアクセスをブロックするネットワークフィルタリングルールを実装する。
- 正規のメッセージはブランド以外のドメインにリダイレクトされないことを強調し、悪意のあるURLの微妙な兆候についてユーザーを教育する。
- これらの巧妙にフォーマットされたリンクやグループメッセージパターンに関連する侵害の痕跡(IoC)を監視する。
- DNSレベルで疑わしいホスト名をブロックし、脅威インテリジェンスフィードを活用してSMSゲートウェイフィルタリングを強化する。
- モバイルキャリアと協力して送信者IDを認証し、悪意のあるインフラストラクチャの迅速なテイクダウンを行う。
このキャンペーンが進化するにつれて、セキュリティチームは警戒を怠らず、これらの欺瞞的なスミッシング攻撃の拡大を阻止するための対策を講じることが不可欠です。