サイバー攻撃の概要:WhatsAppを狙う新たな脅威
セキュリティ研究機関K7 Labsは、ブラジルユーザーを標的とした高度なフィッシングキャンペーンを発見しました。この攻撃は、WhatsApp Webを悪用してマルウェアを拡散し、機密性の高い金融情報を窃取するものです。オープンソースのWhatsApp自動化スクリプトとバンキングトロジャンを組み合わせることで、被害者の連絡先を通じて静かに広がり、ログ、認証情報、個人データを収集します。
攻撃の詳細:Water-Saciマルウェアのメカニズム
今回のキャンペーンは、Water-Saciマルウェアの一種として識別されています。攻撃は、悪意のあるVBSスクリプトを含むZIPアーカイブが添付されたフィッシングメールから始まります。この初期ペイロードは、文字コードとXORエンコーディングを用いて署名ベースのアンチウイルス検出を回避し、セキュリティソリューションからその本来の機能を隠蔽します。
スクリプトが実行されると、Python、ChromeDriver、およびSelenium WebDriverがダウンロードおよびインストールされます。これらは正当なツールですが、WhatsApp Webを自動化するために悪用されます。
QRコード認証をバイパスするセッション乗っ取り
このマルウェアの最も悪質な特徴は、QRコード認証を必要とせずにWhatsAppセッションを乗っ取る能力です。Pythonスクリプト(whats.py)は、Chrome、Firefox、Edgeのブラウザプロファイルを列挙し、クッキー、ローカルストレージ、IndexedDBファイルを含むセッションアーティファクトを抽出します。これらの窃取されたセッショントークンを利用することで、マルウェアは被害者の認証済みWhatsApp Webセッションが既にアクティブなブラウザを起動し、ログイン認証を完全にバイパスします。
悪意のあるJavaScriptによる拡散と情報窃取
認証後、マルウェアはWhatsApp Webに悪意のあるJavaScriptを注入し、内部APIにアクセスします。WPP.contact.list()やWPP.chat.sendFileMessage()などの機能を使用して、被害者の連絡先リストを系統的に収集し、グループやビジネスアカウントを除外した後、悪意のあるペイロードを含む挨拶メッセージを送信します。
- 挨拶メッセージの送信:
sendTextMessage(number, greeting) - インメモリファイルの送信:
sendFileMessage(number, inMemoryFile) - 最終メッセージの送信:
sendTextMessage(number, closing)
このスクリプトは、Python.zip、ChromeDriver.exe、およびWebDriverをダウンロードするためのPIPをインストールする.batスクリプトをドロップし、その後whats.pyを実行します。添付ファイルは、Base64エンコードされた文字列として完全にメモリ内で転送され、ディスクに書き込まれることはありません。これは、アンチウイルス検出を回避するための手法です。
バンキングトロジャンと広範なシステム偵察
WhatsAppでの拡散と並行して、MSIインストーラーがAutoItスクリプトを展開します。このスクリプトは、ブラジルのバンキングアプリケーション、仮想通貨取引所、金融プラットフォームの活動中のウィンドウを監視します。標的となる機関が検出されると、スクリプトは暗号化された.tdaおよび.dmpファイルに保存されているペイロードを復号・解凍し、リフレクティブインジェクション技術を使用してバンキングトロジャンを完全にメモリにロードします。
トロジャンを実行する前に、マルウェアは広範なシステム偵察を行います。WMIをクエリして、Windows Defender、McAfee、ESET、Kasperskyなどのインストールされているアンチウイルス製品を特定します。また、コンピュータ名、OS情報、外部およびローカルIPアドレス、インストールされているセキュリティアプリケーション、そして特に、アクセスされたブラジルの銀行サイトを特定するためのChromeのブラウザ履歴を収集します。このバンキングトロジャンは、Banco do Brasil、Bradesco、Itaú、Santander、Binance、Coinbaseを含む20以上のブラジルの金融機関および仮想通貨取引所を具体的に標的としています。
データ流出と推奨されるセキュリティ対策
システム情報と収集された連絡先は、JSON形式のHTTP POSTリクエストを介して攻撃者が制御するPHPサーバーに流出され、リアルタイムのキャンペーン追跡と設定更新を可能にします。この多段階攻撃は、サイバー犯罪者がソーシャルエンジニアリングと高度な自動化、およびメモリ常駐型マルウェアを組み合わせて、従来の防御をどのように回避するかを示しています。
信頼できる連絡先からの配信に依存するこの攻撃は、特に危険です。組織や個人は、異常なWhatsAppの挙動を検出し、不正なセッションアクセスを監視し、通信プラットフォームからの疑わしいファイル実行をブロックするセキュリティソリューションを導入する必要があります。従業員は、見知らぬファイル添付を、送り主の正当性に関わらず、開く前に代替の通信チャネルを通じて直接連絡先に確認するべきです。