複数ライセンス割引見積
脅威データベース マルウェア WhatsAppマルウェアキャンペーン

WhatsAppマルウェアキャンペーン

マルウェアMezoまで
翻訳内容:

サイバー犯罪者たちは、WhatsAppのダイレクトメッセージを利用して悪意のあるVisual Basic Script(VBScript)ファイルを配布し、最終的に侵害されたシステムに正規のリモート監視・管理(RMM)ソフトウェアをインストールさせています。この攻撃は、マレーシア、ブラジル、インド、メキシコ、シンガポール、英国、スペイン、台湾、オーストラリア、ロシア、ベトナムなど、複数の国のWhatsAppデスクトップ版およびWhatsAppウェブ版のユーザーを標的にしています。中でもマレーシアでは、被害を受けたユーザー数が最も多くなっています。

研究者らは、攻撃者が複数のWhatsAppアカウントに不正アクセスし、侵害したアカウントを利用して連絡先リストに登録されている人々に悪意のあるファイルを送信したとみている。しかし、これらのアカウントを乗っ取るために使用された正確な手法は依然として不明である。

ビジネス文書を装った

攻撃者はソーシャルエンジニアリングの手法を用いて、被害者に悪意のあるファイルを開かせようとします。VBScriptで書かれた添付ファイルは、正規のビジネス文書や財務文書を装っており、「Financial Reports.vbs」や「Account Statement.vbs」といった、いかにも怪しげなファイル名が使われています。攻撃の国際的な広がりを狙うため、ポルトガル語、フランス語、ドイツ語、マレー語など、複数の言語で書かれたファイルも存在します。

これらのスクリプトは高度に難読化されており、本物のMicrosoft Windows Updateコンポーネントを模倣するように設計された膨大なコメントとメタデータが含まれています。多数のコメントは中国語で書かれており、次のような関数を参照しています。

  • Windows Update モジュール
  • 証明書の検証手順
  • システム整合性チェック
  • 展開関連プロセス

これらの要素は、ファイルを正当なものに見せかけ、セキュリティ分析を妨害することを目的としています。

多段階感染チェーンによりリモートアクセスが可能に

悪意のあるVBScriptは、「WScript.exe」を介して実行されると、追加のVBScriptコンポーネントをダウンロードして実行することで、多段階の感染プロセスを開始します。最初のスクリプトの主な目的は、リモートサーバーから2つの二次ペイロードを取得することです。1つのペイロードはWindowsユーザーアカウント制御(UAC)の動作を操作しようとし、もう1つのペイロードはManageEngine RMM Centralのインストールパッケージを含むZIPアーカイブをダウンロードして実行します。

正規のRMMソフトウェアが正常にインストールされると、攻撃者はリモートアクセス機能を利用できるようになり、被害者のシステムを制御できるようになります。

WhatsApp Webとデスクトップ版における異なる実行パス

感染プロセスは、使用するWhatsAppプラットフォームによって異なります。WhatsApp Webの場合、被害者はファイルをダウンロードし、ダウンロードフォルダまたはブラウザの履歴から手動で開く必要があります。その際、ダウンロードしたファイルは正規の文書だと信じ込んでしまいます。

一方、WhatsAppデスクトップアプリケーションでは、マルウェアがクライアント環境内で直接実行されるようになっています。プロセス分析によると、アプリケーションのバックグラウンドプロセスである「WhatsApp.Root.exe」が「WScript.exe」を起動し、それが悪意のある一連のプロセスを開始する役割を担っていることが分かります。

過去のマルウェア活動との関連性の可能性

この攻撃キャンペーンは特定の脅威グループによるものとは正式には断定されていないものの、捜査当局は、Gh0st RATおよびValleyRATマルウェアファミリーに関連する過去の悪質な活動とインフラ面で重複する部分を確認している。これらの類似性は、今回の作戦が過去のサイバー犯罪キャンペーンとリソースや戦術を共有している可能性を示唆している。

WhatsAppユーザーのための必須の注意事項

セキュリティ専門家は、WhatsAppで予期しない添付ファイルを受け取った場合は、たとえ信頼できる連絡先からのメッセージに見えても、常に注意を払うようユーザーにアドバイスしています。以下のファイル形式は、その正当性が独自に確認されない限り、決して開かないでください。

  • VBSおよびVBEスクリプトファイル
  • EXE、BAT、CMDなどの実行可能ファイル
  • JSやPS1などのスクリプトベースのフォーマット

添付ファイルを開く前に内容を確認することは、信頼できる通信プラットフォームを悪用するマルウェア攻撃に対する最も効果的な防御策の一つです。

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
24,122
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
21,791
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...