フィッシング詐欺が進化を続ける中、Windowsユーザーを特に狙ったマルウェア・アズ・ア・サービス(MaaS)の出現がこの傾向を浮き彫りにしています。マイクロソフトはこれらの脅威への対策を講じていますが、根底にある詐欺行為は依然として活発です。ここでは、この巧妙な詐欺行為の仕組みと、身を守るために取るべき対策について詳しく説明します。
マルウェア・アズ・ア・サービス(MaaS)フィッシング詐欺を理解する
フィッシング詐欺は、通常、メール、テキストメッセージ、ポップアップ、または誤解を招くウェブサイトを利用してユーザーを欺きます。Microsoft Defenderの専門家が最近発見した戦略では、信頼できるアプリケーションを悪用してユーザーをマルウェアに誘導し、検出を困難にしています。
多くの場合、Windowsは有効なセキュリティ証明書がないため、このようなマルウェアをブロックする機能を備えています。この場合、Extended Validation(EV)証明書が重要な役割を果たし、ユーザーにブランドの正当性とフィッシング攻撃からの保護を保証します。しかし、詐欺師は巧妙な回避策を編み出しています。
彼らはTrustConnect Software PTY LTDというダミー会社を設立することで、正当性を装いました。人工知能を駆使し、ウェブサイト、肯定的なレビュー、顧客指標などを含む包括的なビジネスアイデンティティを偽造しました。EV認証の申請に成功したことで、ユーザーとシステム双方にとってマルウェアが信頼できる存在であることを効果的に証明しました。
これは、詐欺師が盗難や偽造に頼るのではなく、合法的に有効なEV証明書を取得したことを意味します。そのため、彼らが配布するマルウェアは、Windowsによって即座に正規のものとして認識されます。
Windows でアプリの証明書を確認するには、実行可能ファイルを右クリックし、[プロパティ] → [デジタル署名] → [詳細] → [証明書の表示]に移動します。
TrustConnectが合法的なビジネスへと移行し、悪徳起業家を顧客とするようになったことで、状況はさらに悪化しました。彼らはMaaSビジネスモデルを採用し、月額わずか300ドルの仮想通貨でサブスクリプションを提供し、フィッシング攻撃の実行を可能にしました。
ユーザーは、PDFファイル、会議招待状、その他一見無害なコンテンツを含むメールに悪意のあるリンクを偽装して標的にされます。これらのリンクは、多くの場合、Adobe AcrobatやZoomなどのアプリケーションの「アップデート」を促すものです。ユーザーが騙されて「アップデート」をクリックすると、知らないうちにマルウェアがインストールされてしまいます。
adobereader.exe、、、などの一般的な実行ファイルは、trustconnectagent.exe有効なEVシグネチャを持っているため、疑われることなくスムーズに動作します。その結果msteams.exe、マルウェアはProgram Files内にフォルダを作成し、通常のアプリケーションと同様に起動時に起動するため、技術に精通したユーザーであっても検出が困難になります。zoomworkspace.clientsetup.exeinvite.exe
EV証明書の失効:限定的な解決策
EV証明書を失効させればTrustConnectのフィッシング攻撃は効果的に阻止できると思われるかもしれませんが、現実はそうではありません。この対策は新たなマルウェアによるEV証明書の取得を阻止しますが、過去に発行された証明書を遡及的に無効化するものではありません。
その結果、以前に認証されたマルウェアは、Windowsでは引き続き正規のマルウェアとみなされます。したがって、ユーザーは自らを守るために積極的な対策を講じる必要があります。企業クライアントが主な標的となることは間違いありませんが、個人ユーザーも例外ではありません。
さらに、セキュリティ専門家は、TrustConnect の背後にいる犯人が、同様の戦術を採用したDocConnectという別のマルウェアの亜種をすでに開発していることを確認しています。
フォーマット:推奨されるアプローチ
調査によると、マルウェアの駆除を試みると、当初想定されていたよりもさらに高度な層が明らかになることが明らかになっています。TrustConnectのマルウェアは、侵害されたシステムへの継続的なアクセスを維持するために、様々なリモート監視・管理(RMM)フレームワークをインストールします。そのため、フレームワークを1つ削除するだけでは、必要な対策のほんの一部にしか過ぎません。
被害に遭われた方は、コンピューターをフォーマットすることが、マルウェアを完全に除去するための最も効果的な解決策です。まずはファイルのバックアップを取ることが重要です。Windowsを再インストールしたら、復元する前にバックアップに対して徹底的なウイルス対策スキャンを実行してください。幸いなことに、マルウェアはWindowsアプリケーションを装っているため、ドキュメントや写真にリンクされている可能性は低いでしょう。
ビジネス環境では、IT 管理者がユーザーによるソフトウェア更新の独自実行を禁止することをお勧めします。
リンクからのアプリアップデートに関する注意事項
マルウェアをインストールするために偽装アプリアップデートを利用するのは、TrustConnectだけではありません。彼らが持つ独自の強みは、有効な証明書であり、セキュリティソリューションによる検知を困難にしていました。
一見信頼できるソースからアプリのアップデートを促すリンクをクリックしてしまった場合は、すぐにクリックを中止してください。アップデートを続行しないでください。
代わりに、アプリケーションを個別に起動し、設定またはヘルプメニューからアップデートを確認してください。Microsoft Store からダウンロードしたアプリの場合は、アップデートも Store から直接入手する必要があります。
アップデートが利用できない場合は、遭遇したリンクは悪意のあるものである可能性が高いです。プロセスは頻繁に変更される可能性があるため、新しいアプリケーションを完全に統合する前に、サンドボックス環境にインストールして安全性を評価することをお勧めします。
予期せぬリンクに対する批判的思考
フィッシング詐欺の蔓延は今後も減少する見込みはありません。最も効果的な防御策の一つは、予期せぬリンクをクリックする前に、そのリンクが何なのかを疑うことです。最近、自動車保険料のアンケート調査を勧誘するメールを受け取りました。送信者は本物でしたが、リンクをクリックせずに保険会社のウェブサイトに直接アクセスすることにしました。ところが、それはフィッシング詐欺であることが判明しました。
リンクの正当性に疑問がある場合は、クリックしないでください。仕事関連の連絡については、送信元に個別に連絡して確認してください。好奇心よりも安全を優先し、メッセージに返信することは避けてください。返信は詐欺師の興味を引くだけで、リスクを高めます。
日々新たなフィッシング詐欺が出現し、LinkedInなどのプラットフォームにも侵入するケースが増えているため、常に最新情報を入手し、警戒を怠らないことが不可欠です。Malware as a Service(MaaS)は新たな複雑さをもたらしますが、ユーザーは意識を高め、注意を怠ることなく、これらの詐欺を回避できます。
コメントを残す