Trend Microはこのほど、「Social Media Malvertising Campaign Promotes Fake AI Editor Website for Credential Theft|Trend Micro (US)」において、Facebookアカウントを乗っ取り情報窃取マルウェアを配布するマルバタイジングキャンペーンを発見したとしてその手法を解説した。この攻撃では偽の画像編集アプリの広告を配信し、だまされたユーザーにマルウェアを配布する。

Social Media Malvertising Campaign Promotes Fake AI Editor Website for Credential Theft|Trend Micro (US)

○Facebookアカウントの乗っ取り

脅威アクターはFacebook上でマルバタイジング攻撃を行うため、初めに影響力のあるFacebookページの管理者アカウントを乗っ取る。具体的には「Meta Support Center」になりすましてフィッシングメッセージを送信し、標的をフィッシングサイトに誘導する。

フィッシングメッセージの例 引用:Trend Micro

Trend Microによると、フィッシングサイトは複数あるが、いずれも「Meta BUSINESS SUPPORT CENTER」を名乗り、アカウントを乗っ取るために必要な個人情報を入力させるという。入力を終えるとアカウントは乗っ取られ、マルバタイジング攻撃が開始される。

フィッシングサイトの例 引用:Trend Micro

○AI画像編集アプリの偽広告

脅威アクターはFacebookページの管理者権限を入手すると、次にAI(Artificial Intelligence)を活用した画像編集アプリ「Evoto」の偽広告の配信を開始する。

Evotoの偽広告の例 引用:Trend Micro

Facebookページの訪問者が偽広告にだまされ、リンクにアクセスするとEvotoの公式サイトによく似た偽サイトにアクセスすることになる。偽サイトからはIT管理プラットフォーム「ITarian」が配布される。

配布されるITarianのインストーラーやコンポーネントには、悪意のあるファイルは含まれていない。しかしながら、インストールするとデバイスがITarianのリモート管理に登録され、スケジュールされた複数のタスクが実行される。このタスクに悪意のある処理が含まれており、最終的に情報窃取マルウェアの「Lumma Stealer」がインストールされる。このとき、Microsoft Defenderの検出も無力化される。

キャンペーンの侵害経路 引用:Trend Micro

○対策

Trend Microは一連の攻撃を回避するため、初期の標的となるFacebookアカウントを保護することを推奨している。具体的には一意で強力なパスワードを設定し、加えて多要素認証(MFA: Multi-Factor Authentication)を有効化する。企業・組織は、従業員に一連の攻撃手法を教育し、URL確認と認証情報保護の重要性を認識させることが推奨されている。