サイバーニュース.jp

世界のサイバーなニュースを配信

Water Saciハッカー集団がAIツールを悪用しWhatsApp Webユーザーを標的に

カテゴリ:

AIを活用した攻撃の巧妙化

ブラジルのWhatsAppユーザーを標的とするWater Saciキャンペーンが大幅にエスカレートしており、ハッカー集団は人工知能を駆使してマルウェアの伝播能力を強化するという、注目すべき技術的洗練度を示しています。セキュリティ研究者は、このグループの攻撃手法における重大な変化を特定しました。それは、PowerShellベースのスクリプトからPythonバリアントへの移行です。この転換は、大規模言語モデル(LLM)とAIコード変換ツールの使用によって加速されました。

複雑な攻撃チェーンと感染経路

このキャンペーンは、従来の検出メカニズムを回避するために設計された、非常に複雑な攻撃チェーンを採用しています。被害者は、WhatsAppを介して一見無害なメッセージを受け取ります。これらのメッセージには、HTMLアプリケーション(HTA)ファイル、ZIPアーカイブ、PDFドキュメントなど、複数のファイル形式が含まれており、それぞれが洗練された感染シーケンスへの入り口として機能します。攻撃ベクトルの多様性は、分析を著しく複雑にし、侵害の成功の可能性を高めています。

最初の感染は通常、ユーザーがWhatsApp Webから直接ダウンロードした悪意のあるHTAファイルを実行することから始まります。これらのファイルには、セキュリティソフトウェアと手動分析の両方を回避するために、複数の難読化レイヤーで保護された埋め込みVisual Basicスクリプトが含まれています。難読化が解除されると、スクリプトはコマンド&コントロール(C2)サーバーと連絡を取り、MSIインストーラーと自動化コンポーネントをダウンロードし、侵害されたシステムにバンキング型トロイの木馬を確立します。

AIによるスクリプト変換と機能強化

最も注目すべきは、攻撃者が既存のPowerShell伝播ルーチンをより汎用性の高いPython実装に変換するために、大規模言語モデルを活用したことを示唆する証拠です。「whatsz.py」と名付けられたPythonバリアントは、PowerShellの前身と同等の機能を持つ一方で、能力と到達範囲において大幅な改善をもたらしています。Pythonコードの検査により、「PowerShellからPythonへ変換され、Chrome、Edge、Firefoxをサポート」という明示的なコメントが明らかになりました。また、「エラーハンドリングで最適化されたバージョン」や「複数の連絡先に同時にメッセージを送信 – 超高速!」といった最適化に関する注釈も含まれており、これらは手動で書かれたマルウェアでは異例であり、AI支援による開発を強く示唆しています。

Pythonバリアントは、単なる直接的な翻訳ではなく、運用上の大幅なアップグレードを意味します。新しい実装は、以下の機能強化を含んでいます。

  • オブジェクト指向のコード構造
  • 強化されたエラーハンドリング
  • バッチメッセージング機能
  • マルチブラウザ互換性

これらの機能は、マルウェアの配布を大幅に加速させ、検出や障害に対する回復力を向上させます。自動化スクリプトは、Seleniumを利用してWhatsApp Webインターフェースを操作し、悪意のあるJavaScriptライブラリを注入し、連絡先リストを抽出し、Base64エンコーディングを使用して大量ファイルを送信します。これらの機能により、脅威アクターは最小限の手動介入で、被害者ネットワーク全体にマルウェアを迅速に伝播させることができます。

高度なバンキング型トロイの木馬の標的

このチェーンを通じて配信される最終的なペイロードは、ブラジルの金融機関と暗号通貨取引所を明確に標的とする高度なバンキング型トロイの木馬です。このマルウェアは、インストールされているバンキングアプリケーションの検出、金融ウェブサイトのChrome閲覧履歴の分析、アンチウイルスソフトウェアの監視など、包括的な偵察を実行します。Pythonの広範な使用は、攻撃者が伝播を自動化し、ペイロード配信を合理化し、悪意のある操作の柔軟性と回復力を高めることを可能にします。

バンキング関連のウィンドウアクティビティを特定すると、トロイの木馬は認証情報窃取オーバーレイを注入し、プロセスホローイング技術を通じて永続的なアクセスを維持します。

AI時代のサイバーセキュリティ対策

Water Saciキャンペーンは、サイバー犯罪におけるパラダイムシフトを象徴しており、脅威アクターが開発サイクルを加速させ、運用効率を向上させるためにAI技術をどのように採用しているかを示しています。AI支援によるコード変換、多段階配信メカニズム、高度な永続化技術の統合は、ブラジルのユーザーと組織にとって手ごわい脅威の状況を生み出しています。

セキュリティ専門家は、以下の多層防御の実施の必要性を強調しています。

  • メッセージングアプリケーションでの自動ダウンロードの無効化
  • 高度なエンドポイント保護
  • 包括的なユーザー意識トレーニング

脅威アクターがAIを活用した能力を革新し続ける中、組織は警戒を怠らず、防御態勢を迅速に適応させる必要があります。

元記事: https://gbhackers.com/whatsapp-web-users/

投稿をさらに読み込む