アダルトサイト狙う脅威アクターを別な脅威アクターが攻撃、カオスな状態

画像提供：マイナビニュース

VERITIはこのほど、「EXPOSED: OnlyFans Hack Gone Wrong - How Cyber Criminals Turn into Victims Overnight - VERITI」において、サブスクリプション型アダルトサイト「OnlyFans」のユーザーを標的にする脅威アクターに対し、情報窃取マルウェア「Lummac Stealer」を配布するサイバー攻撃を発見したと報じた。これは脅威アクターが脅威アクターを攻撃していることを意味しており、サイバー犯罪者間の欺瞞に満ちた関係性が浮き彫りになっている。

○攻撃の概要

今回確認された攻撃では、「Bilalkhanicom」を名乗る脅威アクターが、OnlyFansアカウントのチェッカーツールに偽装したマルウェアを配布した。ここで言うチェッカーツールは、脅威アクターが保有する大量の認証情報を標的Webサイトで有効かどうかを確認するツールとされる。

VERITIによると、チェッカーツールを使った場合、気付かないうちに情報窃取マルウェア「Lummac Stealer」に感染するという。つまり、チェッカーツールとして正常に動作するが、バックグラウンドでマルウェアを展開するものとみられる。

○情報窃取マルウェア「Lummac Stealer」の動作

今回配布されたLummac Stealerの亜種は、起動すると「UserBesty」というユーザー名でGitHubに接続し、マルウェアローダーをダウンロードして被害者の環境深くに埋め込む。このマルウェアローダーは検出と削除が困難とされる。Lummac Stealerはコマンド＆コントロール(C2: Command and Control)サーバに接続すると、主に次の情報を窃取する。

暗号資産ウォレット
多要素認証(MFA: Multi-Factor Authentication)のWebブラウザ拡張機能
システム上の機密情報

○さらなる攻撃

VERITIの調査によると、Bilalkhanicomはチェッカーツール以外にも次のツールを用意しており、他の脅威アクターに対して別のキャンペーンを実施中とみられている。

DisneyChecker.exe - Disney+用の悪意のあるチェッカーツール
InstaCheck.exe - Instagram用の悪意のあるチェッカーツール
ccMirai.exe - ボットネット「Mirai」に偽装したマルウェアと推測される

セキュリティ研究者以外の良識のあるユーザーはこれらツールに触れる機会はなく、特別な対策は不要と考えられる。しかしながら、インターネット上にはこのような無法地帯が存在しており、興味本位では近寄らないようにすることが推奨されている。
（後藤大地）