サイバー攻撃者は、Google広告や偽のFacebookプロフィールを利用して、Facebookのビジネスアカウントを標的にした攻撃を展開しています。これらの攻撃は、ゲーム、クラック版ソフトウェア、アダルトコンテンツなどを装った広告を通じて、被害者に悪質なZIPファイル(インフォスティーラー)をダウンロードさせることを目的としています。
1. 攻撃のターゲットと広告の内容
この攻撃は、特に45歳以上の男性をターゲットにしており、世界中の何百万人のユーザーが被害の可能性を抱えています。攻撃者は、以下のような信頼性のあるブランドを模倣し、人気ソフトウェアやサービスの広告に偽装しています。
- 生産性ツール:Office 365
- クリエイティブソフトウェア:Canva、Adobe Photoshop
- VPNサービス:ExpressVPN
- ストリーミングプラットフォーム:Netflix
- メッセージングアプリ:Telegram
- 人気ゲーム:スーパーマリオブラザーズワンダー
こうした広告を通じて、ユーザーに正規のソフトウェアダウンロードと見せかけた偽のリンクへ誘導する手口が取られています。
2. 広告をクリックした際の挙動
広告をクリックすると、メディアファイルのダウンロードリンクにリダイレクトされ、ダウンロードするとZIP形式でパッケージ化されたファイルが提供されます。このZIPファイルには、悪意のあるElectronアプリケーションが含まれており、ユーザーが実行するとマルウェアが展開されます。
Electronは、HTMLやJavaScriptを使ってWindows、macOS、Linuxといった複数のOS上で実行できるクロスプラットフォームアプリを開発するためのオープンソースフレームワークです。これにより、マルウェアが様々な環境で実行可能となっています。
3. Electronアプリダウンロード後の影響
Electronアプリケーションは、難読化されたJavaScriptコードと7zip実行ファイルを使用して、パスワード保護されたアーカイブからマルウェアコンポーネントを抽出します。このアーカイブには、インフォスティーラーをインストールし、被害者のシステムで持続的に動作させるPHPスクリプトが含まれており、さらにセキュリティ研究者による検出を避けるためのアンチサンドボックス機能も組み込まれています。
4. インフォスティーラーの目的と影響
インフォスティーラーの主な目的は、Facebookの認証情報、特にビジネスアカウントに関連するものを収集することです。これらの侵害されたアカウントは、さらなる攻撃や詐欺行為に利用されます。攻撃者はハイジャックしたアカウントの広告機能も活用し、セキュリティフィルターを通過しやすい新たな悪質広告を作成することが可能です。
このサイクルにより、盗まれたアカウントが再びマルウェア拡散のために利用され、自己増殖する仕組みが形成されます。さらに、盗まれた認証情報は闇市場で売買され、犯罪者の収益源にもなっています。
このような攻撃に巻き込まれないためには、広告のリンクをクリックする際に注意を払い、公式サイトからのみソフトウェアをダウンロードすることが推奨されます。また、二要素認証やセキュリティソフトの導入を行い、アカウントの安全性を高める対策が重要です。
