はじめに
サイバーセキュリティ研究者らは、ブラジルのWhatsAppユーザーを標的とした新たな自己増殖型マルウェアキャンペーンを発見しました。このマルウェアは、銀行の認証情報や仮想通貨取引所のログイン情報を窃取することを目的としています。2025年9月29日に初めて検出されたこの攻撃は、ユーザーが信頼する連絡先を悪用してメッセージングネットワーク全体に悪意のあるペイロードを拡散させる、ソーシャルエンジニアリング戦術の危険な進化を示しています。
巧妙な感染経路
このキャンペーンは、感染したWhatsAppの連絡先から、ウェブ版WhatsAppを介して被害者に一見正当に見えるメッセージが届くことから始まります。これらのメッセージには、「NEW-20251001_150505-XXX_XXXXXXX.zip」のようなZIPアーカイブ、またはポルトガル語で「ORCAMENTO」(予算)や「COMPROVANTE」(領収書)といった単語が含まれており、本物であるかのように装っています。メッセージは、コンテンツがコンピューターでのみ表示可能であると具体的に指示しており、セキュリティ保護がより堅牢である可能性のあるモバイルデバイスから被害者を意図的に遠ざけています。
ダウンロードされると、ZIPファイルには悪意のあるWindows LNKファイルが含まれており、これが複雑な多段階のPowerShell感染チェーンをトリガーします。Sophosのセキュリティ研究者は、この初期PowerShellアクティビティを400以上の顧客環境、1,000以上のエンドポイントで検出しています。
セキュリティ回避と最終ペイロード
第2段階のPowerShellコマンドは、重要なセキュリティ防御を無効にしようとします。ポルトガル語のコメントには、「Microsoft Defenderに除外を追加する」および「UAC(ユーザーアカウント制御)を無効にする」という意図が明示されています。この防御回避により、セッションハイジャックのためのSeleniumブラウザ自動化ツール、またはブラジルの銀行や仮想通貨取引所への接続を具体的に監視するMaverickと呼ばれるバンキングトロイの木馬のいずれかが展開されます。
被害者が標的の金融ウェブサイトにアクセスすると、マルウェアはログイン情報を窃取し、不正な取引を容易にするために設計された、機能豊富な.NETバンキングトロイの木馬をインストールします。このペイロードの高度さは、かなりの開発リソースとブラジルの銀行システムに関する詳細な知識を示唆しています。Counter Threat Unitの研究者は、2024年2月から同様の配布方法でブラジルユーザーを標的としてきたCoyoteバンキングトロイの木馬に関連する可能性を指摘しています。
自己増殖メカニズムによる脅威の拡大
このキャンペーンの最も懸念される側面は、その自己増殖性です。感染が成功した後、マルウェアは被害者のWhatsApp連絡先に自身を拡散しようとし、ソーシャルな信頼を悪用した指数関数的な配布ネットワークを構築します。このワームのような挙動は、既知の連絡先からの添付ファイルを開く可能性が高い受信者を狙うため、キャンペーンの到達範囲と有効性を大幅に増幅させます。
脅威アクターがソーシャルエンジニアリング戦術を洗練させ続ける中、警戒とセキュリティ意識がこれらの進化するサイバー脅威に対する第一線の防御であり続けます。セキュリティ専門家は、この攻撃が、サイバー犯罪者がメッセージングプラットフォームやソーシャルメディアチャネルをますます標的とする、進化する脅威の状況を示していると強調しています。特にWhatsApp Webの使用は、攻撃者がモバイルセキュリティ対策を回避しつつ、ブラジルでのWhatsAppの広範な採用(個人およびビジネス目的の主要な通信ツールとして機能している)を悪用することを可能にしています。
対策と推奨事項
組織および個人は、既知の連絡先からのものであっても、不審な添付ファイルを開くリスクについてユーザーを教育することで身を守ることができます。PowerShell実行アラートへの迅速な対応は、感染を初期段階で封じ込めるのに役立ち、更新されたエンドポイントセキュリティソリューションを維持することは、これらの高度な多段階攻撃に対する重要な防御を提供します。
- 不審なメッセージや添付ファイルには常に警戒する。
- コンテンツの表示を特定のデバイスに限定するよう求めるメッセージには特に注意する。
- エンドポイントセキュリティソフトウェアを常に最新の状態に保つ。
- PowerShell実行などの異常なアクティビティを監視し、迅速に対応する。