WhatsAppを介した巧妙な感染経路
ブラジルのユーザーを標的とした新たなバンキング型トロイの木馬「Maverick」が、WhatsAppを悪用して拡散していることがサイバーセキュリティ研究者によって明らかにされました。
10月上旬のわずか10日間で、ブラジル国内で62,000件以上の感染試行が阻止されており、その規模と潜在的な影響の大きさが浮き彫りになっています。
攻撃は、被害者がWhatsAppメッセージを通じて、LNKファイルを含む悪意のあるZIPファイルを受け取るところから始まります。これらのファイルは、ポルトガル語のファイル名で正規の銀行文書を装い、信頼できるものに見せかけます。
メッセージは通常、受信者に対し、ファイルをコンピューターで表示し、Chromeのセキュリティ警告を「ファイルを保持」を選択して回避するよう指示します。
このキャンペーンが特に危険なのは、その自己増殖性にあります。一度インストールされると、MaverickはオープンソースのWhatsApp自動化ツールであるWPPConnectを利用して、被害者のアカウントを乗っ取り、WhatsApp Webを通じて悪意のあるファイルを自動的に連絡先に送信します。このワームのような挙動により、プラットフォーム全体で指数関数的に拡散します。
高度な技術とAIの利用
感染プロセスは非常に洗練されており、ほぼ完全にメモリ内で動作するため、ディスク上に痕跡をほとんど残しません。
最初のLNKファイルが実行されると、一連のPowerShellスクリプトがトリガーされ、コマンド&コントロールサーバーから暗号化されたペイロードがダウンロードされます。
マルウェアは、User-Agent検証を含む複数の検証レイヤーを採用しており、ダウンロードがマルウェア自体からのみ行われるようにすることで、セキュリティ研究者がサンプルを容易に入手できないようにしています。
操作全体は、PowerShell、.NETアセンブリ、およびDonutで暗号化されたシェルコードを通じてロードされるモジュール式のコンポーネントを使用しています。各ステージが次のステージをダウンロードおよび復号化し、最終的にMaverickバンキングトロイの木馬の展開に至る複雑なチェーンを形成します。
このマルウェアは、被害者のタイムゾーン、言語設定、地域設定、日付形式をチェックすることで、ブラジルのユーザーを具体的に標的としています。
研究者たちは、Maverickの開発において、特に証明書の復号ルーチンや一般的なコード構造において、人工知能(AI)が使用された証拠を発見しました。
広範なバンキング機能と標的
Maverickは、活動を開始すると、被害者のブラウザが26のブラジル国内のバンキングウェブサイト、6つの仮想通貨取引所、および1つの決済プラットフォームにアクセスするのを監視します。
このトロイの木馬は、Chrome、Firefox、Microsoft Edge、Brave、Internet Explorerといった主要なブラウザをサポートしています。
マルウェアの機能は包括的かつ憂慮すべきものです。スクリーンショットのキャプチャ、キーロギング、マウスの制御、ブラウジング活動の監視、プロセスの終了、そして被害者がバンキングウェブサイトにアクセスした際にオーバーレイ型フィッシングページを表示することができます。
これらの機能により、攻撃者はバンキング認証情報を取得し、不正な取引を実行しながら、感染したコンピューターを完全に遠隔操作することが可能になります。
「Coyote」との関連性
セキュリティ研究者は、Maverickと、2024年初頭に文書化された別のブラジルのバンキングトロイの木馬「Coyote」との間にコードの重複を多数発見しました。
両方の脅威は、AES-256を使用した同様の暗号化メカニズムと、類似の通信プロトコルを共有しています。
しかし、Maverickのアーキテクチャの違いは、Coyoteの完全なリファクタリングであるか、または共有コードライブラリを使用して開発された新しい脅威であることを示唆しています。
推奨される対策
これは、脅威アクターがAIツールを活用してより洗練された脅威を作成する、マルウェア開発における憂慮すべき進化を示しています。
ユーザーは、アカウントが侵害されている可能性のある既知の連絡先からであっても、WhatsAppを通じて受信する不審なファイルに対して警戒を怠らないようにする必要があります。
組織は、悪意のあるLNKファイルを検出できるメールおよびメッセージングセキュリティソリューションを導入し、アンチウイルスソフトウェアを最新の状態に保ち、メッセージングプラットフォームからのファイルのダウンロードおよび実行のリスクについてユーザーを教育する必要があります。
ブラジルの銀行顧客は特に注意を払い、行動を起こす前に、不審な銀行関連のメッセージを公式チャネルを通じて確認する必要があります。