概要
サイバーセキュリティ研究者たちは、ブラジルのWhatsAppユーザーを標的とした新たな洗練されたキャンペーンを発見しました。このキャンペーンでは、自己増殖型マルウェアが銀行の認証情報や仮想通貨取引所のログイン情報を窃取するように設計されています。2025年9月29日に初めて検出されたこの攻撃は、ユーザーが信頼する連絡先を悪用して悪意のあるペイロードをメッセージングネットワーク全体に拡散させる、ソーシャルエンジニアリング戦術の危険な進化を示しています。
攻撃の詳細
攻撃は、被害者が以前に感染したWhatsApp連絡先から、WhatsApp Webを介して一見正当なメッセージを受け取るところから始まります。これらのメッセージには、「NEW-20251001_150505-XXX_XXXXXXX.zip」のような名前のZIPアーカイブや、「ORCAMENTO」(予算)、「COMPROVANTE」(領収書)といったポルトガル語の用語が含まれており、本物であるかのように装っています。メッセージは、コンテンツがコンピューターでのみ表示可能であると具体的に指示しており、セキュリティ保護がより堅牢である可能性のあるモバイルデバイスから被害者を意図的に遠ざけています。
感染チェーン
ダウンロードされたZIPファイルには、複雑な多段階のPowerShell感染チェーンをトリガーする悪意のあるWindows LNKファイルが含まれています。セキュリティ研究者Sophosは、この初期のPowerShellアクティビティを400以上の顧客環境、1,000以上のエンドポイントで検出しました。
第2段階のPowerShellコマンドは、重要なセキュリティ防御を無効にしようとします。ポルトガル語のコメントには、「Microsoft Defenderに除外を追加する」および「UAC(ユーザーアカウント制御)を無効にする」という意図が明示されています。この防御回避により、セッションハイジャックのためのSeleniumブラウザ自動化ツール、またはブラジルの銀行や仮想通貨取引所への接続を具体的に監視するMaverickと呼ばれるバンキングトロイの木馬のいずれかが展開されます。
被害者が標的の金融ウェブサイトにアクセスすると、マルウェアはログイン情報を窃取し、不正な取引を容易にするために設計された機能豊富な.NETバンキングトロイの木馬をインストールします。このペイロードの洗練度は、ブラジルの銀行システムに関する重要な開発リソースと詳細な知識を示唆しています。Counter Threat Unitの研究者たちは、同様の配布方法を使用して2024年2月からブラジルユーザーを標的としてきたCoyoteバンキングトロイの木馬に関連する以前のキャンペーンとの関連性を指摘しています。
自己増殖メカニズムが脅威を増幅
このキャンペーンの最も懸念される側面は、その自己増殖性です。感染が成功した後、マルウェアは被害者のWhatsApp連絡先に自身を拡散しようとし、ソーシャルな信頼を悪用して指数関数的な配布ネットワークを構築します。このワームのような挙動は、受信者が既知の連絡先からの添付ファイルを開く可能性が高いため、キャンペーンの到達範囲と有効性を大幅に増幅させます。
対策
脅威アクターがソーシャルエンジニアリング戦術を洗練し続ける中、警戒とセキュリティ意識は、これらの進化するサイバー脅威に対する第一線の防御であり続けます。セキュリティ専門家は、この攻撃が、サイバー犯罪者がメッセージングプラットフォームやソーシャルメディアチャネルをますます標的とする進化する脅威の状況を示していると強調しています。特にWhatsApp Webの使用は、モバイルセキュリティ対策を回避しながら、ブラジルでのプラットフォームの広範な採用を悪用しています。
組織や個人は、既知の連絡先からのものであっても、疑わしい添付ファイルを開くリスクについてユーザーを教育することで身を守ることができます。PowerShell実行アラートへの迅速な対応は、感染を初期段階で封じ込めるのに役立ち、最新のエンドポイントセキュリティソリューションを維持することは、これらの洗練された多段階攻撃に対する重要な防御を提供します。