Kaspersky、機密情報や暗号通貨を窃取する詐欺攻撃キャンペーン「Tusk」を発見
[本リリースは、2024年8月15日にKasperskyが発表したプレスリリースに基づき作成したものです]
--【概要】---
Kasperskyのグローバル緊急対応チーム(GERT)※1はこのたび、Web3※2、暗号資産(仮想通貨)、人工知能(AI)、オンラインゲームなどの人気トピックを利用し、暗号資産や機密情報の窃取を試みるオンラインの詐欺攻撃キャンペーンを発見しました。GERTのリサーチャーが「Tusk(タスク)」と名付けた世界各地の個人を標的としたこのキャンペーンは、ロシア語話者であるサイバー犯罪組織が関与していると考えられ、偽のウェブサイトを通じ情報を窃取するマルウェアや、コンピューターのクリップボード情報を収集するクリッパーマルウェアを拡散しています。日本語の偽サイトは見つかっていませんが、グローバルで人気のトピックをピックアップし、模倣した英語サイトを使用していることから、注意が必要です。
--------------
GERTのリサーチャーは、WindowsおよびmacOSのユーザーを標的として暗号資産や個人情報の窃取を目的とした詐欺攻撃キャンペーンを検知しました。攻撃者は人気のトピックを利用し、さまざまな正規のウェブサービスのサイトデザインやインターフェイスを模倣した偽サイトを用意し、標的を誘導します。最近の事例では、暗号資産プラットフォーム、オンラインロールプレイングゲーム、AI翻訳ツールを装ったものが見つかっています。こうした悪質なウェブサイトは、サイト名やURLなどに細かな相違があるものの、洗練されたデザインでそれらしく見え、正規のものと見分けがつきにくいため、攻撃が成功する可能性が高くなっています。
標的となったユーザーはメールなどによるフィッシングを通じて偽サイトに誘導されます。偽サイトは、暗号資産ウォレットの秘密鍵などの機密情報を入力させたり、マルウェアをダウンロードさせたりするように設計されています。攻撃者はその後、偽サイトを通じて標的ユーザーの暗号資産ウォレットから資金を引き出したり、情報窃取型マルウェアを使用してさまざまな認証情報やウォレット情報などを盗んだりすることが可能になります。
この「Tusk」は、情報窃取型マルウェアの「Danabot」や「Stealc」、Go言語で記述されたオープンソース型のクリッパーマルウェアを拡散しています(配布するマルウェアの種類は攻撃キャンペーンのトピックによって異なります)。情報窃取型マルウェアは、認証情報などの機密情報を窃取し、クリッパーマルウェアはクリップボードのデータを監視して暗号資産ウォレットのアドレスがクリップボードにコピーされたときに、それを悪意のあるアドレスに置き換えます。
マルウェアのローダーファイルはDropbox上に置かれており、標的ユーザーがそのファイルをダウンロードすると、ユーザーフレンドリーなインターフェイスが表示され、ユーザーへログインか登録を促す、あるいは静的ページにとどまるようにします。その間にバックグラウンドで残りの悪意のあるファイルとペイロード(悪意のあるコードを含むファイル)が自動的にダウンロードされ、ユーザーのシステムにインストールされます。
リサーチャーが調査する中で、攻撃者のサーバーに送信された悪意のあるコードの中にロシア語で「マンモス」という単語(Мамонт)を見つけました。これは、ロシア語話者の攻撃者の間で「標的」を指すスラングで、サーバー通信とマルウェアダウンロードファイルの両方で使われていました。今回の詐欺攻撃キャンペーンが金銭的利益に重きを置いていることから、マンモスが貴重な牙(英語でtusk)のために狩られたことになぞらえて、この攻撃キャンペーンを「Tusk」と呼ぶことにしました。
KasperskyのGERTでインシデント対応ユニット責任者を務めるアイマン・シャーバン(Ayman Shaaban)は、次のように述べています。「この攻撃キャンペーンは、さまざまな部分の相互関連と共通のインフラが使用されていることから、高度に組織化された活動であり、背後には特定の金銭的利益の獲得を動機とした単一の攻撃者または攻撃グループがいるとみています。GERTでは、暗号資産、AI、ゲームのトピックを対象とした三つのサブキャンペーンに加え、当社の脅威インテリジェンスポータルによって、今はもう稼動していない古いキャンペーン、あるいはまだ開始されていない新しいキャンペーンの合計16のトピックのインフラを特定しました。このことは、攻撃者がトレンドのトピックに迅速に対応して新たな悪意のある活動を展開する能力を有していることを示しています。進化する脅威に対抗するための堅固なセキュリティソリューションと高度なサイバーリテラシーが必要不可欠であることが改めて実感されます」
■ 「Tusk」関連のサイバー脅威に対抗し被害を抑えるために、次の対策を推奨します。
・個人の方は、情報窃盗型マルウェアや暗号資産に関連する脅威から身を守るために、個人向けセキュリティ製品「カスペルスキー プレミアム」など、デバイスを問わず使用できる包括的なセキュリティソリューションの使用をお勧めします。マルウェアの感染防止だけでなく、感染の初期経路になる疑わしいウェブサイトやフィッシングメールなどの脅威に対し、アラートを受け取ることができます。
・企業では、従業員向けのサイバーセキュリティ研修を実施し、常に最新の知識を身に付けることを推奨します。サイバーセキュリティ専門家向けのトレーニング「Windows Incident Response」は、経験豊富な専門家にとっても有益で、インシデント対応で最も複雑な攻撃を特定できるように学べるとともに、GERTのエキスパートが蓄積した知識を習得することができます。
・情報窃取型マルウェアは通常、ログインパスワードを狙うため、「カスペルスキー パスワードマネージャー」で安全なパスワードを使用しましょう。
■ 詳細は、Securelistブログ(英語)「Tusk:unraveling a complex infostealer campaign」でご覧いただけます。
※1 グローバル緊急対応チーム(Global Emergency Response Team 、GERT、ガート)
Kasperskyでインシデント発生時のインシデントレスポンス、デジタルフォレンジック、マルウェア解析、インシデント発生後のセキュリティプロセスの改善を支援する活動を行っています。GERTは最新のサイバー脅威の傾向を把握し、統計データを基にした豊富なナレッジを保持しています。
※2 Web3
次世代のインターネットを表す言葉で、主にブロックチェーン技術によって実現される分散型ネットワーク。
■ Kaspersky について
Kasperskyは1997年に設立された、グローバルなサイバーセキュリティおよびデジタルプライバシーの企業です。これまでに10億台以上のデバイスを新たなサイバー脅威や標的型攻撃から保護しています。深い脅威インテリジェンスとセキュリティの専門知識を生かし、革新性に富んだセキュリティソリューションやサービスを提供することで、世界中の企業、重要インフラ、政府機関、そして個人のお客様を守っています。当社の包括的なセキュリティポートフォリオには、業界をリードするエンドポイント保護製品、専門的なセキュリティ製品とサービス、そして高度なデジタル脅威に対抗するためのサイバーイミューン(Cyber Immune)ソリューションが含まれます。当社は22万社を超える法人のお客様の重要な資産を守る力になっています。詳しくは https://www.kaspersky.co.jp/ をご覧ください。
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
- 種類
- 調査レポート
- ビジネスカテゴリ
- アプリケーション・セキュリティ
- ダウンロード