カスペルスキー、オンラインの詐欺攻撃キャンペーン「Tusk」を発見

記事の画像

　カスペルスキーは8月22日、グローバル緊急対応チーム（GERT）が、Web3、暗号資産（仮想通貨）、AI、オンラインゲームなどの人気トピックを利用し、暗号資産や機密情報の窃取を試みるオンラインの詐欺攻撃キャンペーンを発見したと発表した。

　GERTのリサーチャーが「Tusk（タスク）」と名付けた世界各地の個人を標的としたこのキャンペーンは、ロシア語話者であるサイバー犯罪組織が関与していると考えられ、偽のウェブサイトを通じ情報を窃取するマルウェアや、コンピュータのクリップボード情報を収集するクリッパーマルウェアを拡散している。日本語の偽サイトは見つかっていないが、グローバルで人気のトピックをピックアップし、模倣した英語サイトを使用していることから、注意が必要となっている。

　今回、GERTのリサーチャーは、WindowsとmacOSのユーザーを標的として暗号資産や個人情報の窃取を目的とした詐欺攻撃キャンペーンを検知した。攻撃者は人気のトピックを利用し、さまざまな正規のウェブサービスのサイトデザインやインターフェースを模倣した偽サイトを用意し、標的を誘導する。最近の事例では、暗号資産プラットフォーム、オンラインロールプレイングゲーム、AI翻訳ツールを装ったものが見つかっている。こうした悪質なウェブサイトは、サイト名やURLなどに細かな相違があるものの、洗練されたデザインでそれらしく見え、正規のものと見分けがつきにくいため、攻撃が成功する可能性が高くなっている。

　標的となったユーザーは、メールなどによるフィッシングを通じて偽サイトに誘導される。偽サイトは、暗号資産ウォレットの秘密鍵などの機密情報を入力させたり、マルウェアをダウンロードさせたりするように設計されている。攻撃者はその後、偽サイトを通じて標的ユーザーの暗号資産ウォレットから資金を引き出したり、情報窃取型マルウェアを使用してさまざまな認証情報やウォレット情報などを盗んだりすることが可能となる。

　このTuskは、情報窃取型マルウェアの「Danabot」や「Stealc」、Go言語で記述されたオープンソース型のクリッパーマルウェアを拡散している（配布するマルウェアの種類は攻撃キャンペーンのトピックによって異なる）。情報窃取型マルウェアは、認証情報などの機密情報を窃取し、クリッパーマルウェアはクリップボードのデータを監視して暗号資産ウォレットのアドレスがクリップボードにコピーされたときに、それを悪意のあるアドレスに置き換える。

　マルウェアのローダーファイルはDropbox上に置かれており、標的ユーザーがそのファイルをダウンロードすると、ユーザーフレンドリーなインターフェースが表示され、ユーザーへログインか登録を促す、または静的ページにとどまるようにする。その間にバックグラウンドで残りの悪意のあるファイルとペイロード（悪意のあるコードを含むファイル）が自動的にダウンロードされ、ユーザーのシステムにインストールされる。

　リサーチャーが調査するなかで、攻撃者のサーバーに送信された悪意のあるコードのなかにロシア語で「マンモス」という単語を見つけた。これは、ロシア語話者の攻撃者の間で「標的」を指すスラングで、サーバー通信とマルウェアダウンロードファイルの両方で使われていた。今回の詐欺攻撃キャンペーンが金銭的利益に重きを置いていることから、マンモスが貴重な牙（英語でtusk）のために狩られたことになぞらえて、この攻撃キャンペーンをTuskと呼ぶことにした。

　同社は、Tusk関連のサイバー脅威に対抗し被害を抑えるポイントとして、個人では、情報窃盗型マルウェアや暗号資産に関連する脅威から身を守るために、個人向けセキュリティー製品「カスペルスキー プレミアム」など、デバイスを問わず使用できる包括的なセキュリティーソリューションの使用を推奨している。マルウェアの感染防止だけでなく、感染の初期経路になる疑わしいウェブサイトやフィッシングメールなどの脅威に対し、アラートを受け取ることができる。

　企業では、従業員向けのサイバーセキュリティー研修を実施し、常に最新の知識を身に付けることを推奨する。サイバーセキュリティー専門家向けのトレーニング「Windows Incident Response」は、経験豊富な専門家にとっても有益で、インシデント対応で最も複雑な攻撃を特定できるように学べるとともに、GERTのエキスパートが蓄積した知識を習得することができる。また、情報窃取型マルウェアは通常、ログインパスワードを狙うため、「カスペルスキー パスワードマネージャー」で安全なパスワードを使用することを勧めている。