WithSecure(以下、ウィズセキュア)は、「DUCKPORT」と名付けられた、ベトナムを拠点とする新たなサイバー脅威に関する調査レポートを公開した。Meta BusinessやFacebookアカウントなどの広告エコシステムをターゲットとした攻撃が増加していると注意を喚起している。
ウィズセキュアのリサーチ部門であるWithSecure Intelligence(以下、WithIntel)のレポートによると、プラットフォームを標的とする複数のグループを観測し、現在追跡しているとのこと。これらの攻撃は、ターゲットとするアカウントにアクセスできるユーザーを操作して、インフォスティーラー(情報を搾取するマルウェア)に感染させるものだという。
攻撃者は、電子メールやソーシャルメディアなどを通じて共有されるルアーを使用し、ターゲットがマルウェアをダウンロードするように仕向ける。WithIntelのリサーチャーがこれらの攻撃において観測したルアーに共通するテーマは、トレンドトピック(ChatGPTなど)、ユーザー数の多いソフトウェア(Notepad++など)、採用関連(求人広告など)、広告プラットフォームに関する情報(Ads Managerツールなど)などだったとしている。
感染後、マルウェアはFacebookのセッションCookieやログイン認証情報など様々な情報を盗み出し、攻撃者によるターゲットアカウントへのアクセスを可能にする。また、マルウェアの中にはアカウントを乗っ取り、ターゲットのマシンを経由して自動的に不正な広告を実行するものもあるとのこと。攻撃者はこれらのアカウントにアクセスすることで、恐喝、中傷、ターゲット企業の資金や信用を利用した詐欺広告の掲載など、金銭目的の機会を広く創出しようとしているという。
![広告プラットフォームへの攻撃のフロー<br/>[画像クリックで拡大表示]](http://ez-cdn.shoeisha.jp/static/images/article/18355/18355_01.jpg)
[画像クリックで拡大表示]
レポートを執筆したWithIntelのリサーチャーであるMohammad Kazem Hassan Nejad(モハマッド・カゼム・ハッサン・ネジャッド)氏は、こうした攻撃について次のように述べている。
「これらの攻撃グループは、しばしば他のサイバー犯罪者に広告を販売し手数料を取ったり、攻撃を分担させたりしています。そのため、他のサイバー犯罪者にとっての一種のイネイブラー(enabler)になり、最終的には企業やそのプラットフォーム、そしてユーザーに被害をもたらすこととなります。さらに、彼らは盗み出すことに成功した情報の多くを外部に販売することでより多くの収入を得て、そしてその結果、被害者にとってさらに多くの問題を引き起こすことになるのです」
【関連記事】
・ウィズセキュア、EDRソリューションに新しい監視サービスを追加 24時間のモニタリングを提供へ
・ウィズセキュア、サイバー犯罪の調査レポートを発表
・ウィズセキュアが新サービス提供、インシデントへの準備と対応をパッケージ化
