
WhatsAppはMetaの展開する世界最大級のアメリカのフリーウェアで、クロスプラットフォームの集中型メッセージングおよびVoIPサービスです。
その利用者は多く、2021年時点で、すでに20億人を超えています。
多く使われているプラットフォームは、良い意味でも悪い意味でも注目を集めます。
WhatsAppに関係する脅威キャンペーンが確認されています。
キャンペーンは次のように進みます。
- メールを送る
脅威アクターは米国政府関係者に成り済まして被害者候補にメールを送ります。
メールの内容はウクライナを支援する非政府活動に関連するWhatsAppグループへの参加を勧める内容になっています。 - 壊れたQRコード
メールにはQRコードが含まれているのですが、これは機能しません。
どうやら意図的に壊された状態のQRコードが添付されているようです。
QRコードが壊れたとわかった被害者候補は、どうして壊れたものであるとわかったのでしょうか。
被害者候補はすでにこのQRコードの読み取りを試み、その読み取りが想像した結果につながらなかったため、QRコードが正常な状態にないと考えたのでしょう。
次に被害者候補はメール送信者に受け取ったQRコードが正しく利用できなかった旨を連絡するでしょう。 - 短縮リンク
被害者候補からの連絡を受け取った脅威アクターはQRコードが機能しなかったという連絡に対し、別の情報を送ります。
送る内容は短縮リンクです。
短縮されていますので、一目ではどのようなURLなのかはわかりません。 - WhatsAppグループへの参加、のような画面表示
被害者候補は受け取った短縮リンクを開きます。
開くとWhatsAppグループへの参加のためのサイトが表示されます。
しかし、このサイトは脅威アクターの準備した偽サイトです。
文面ではWhatsAppグループへの参加を行うためのコンテンツであることが説明されています。
そして、このコンテンツにもQRコードが含まれています。
こちらのQRコードは壊れていません。
ただし、そのQRコードの機能は、WhatsAppグループへの参加を実現するためのものではなく、攻撃者の新しいデバイスを被害者のWhatsAppアカウントにリンクするためのものとなっています。
この一連の流れを経て、被害者候補は被害者へと変化しました。
脅威アクターはWhatsAppアカウント内のメッセージにアクセスし、WhatsApp Web経由でアクセスしたアカウントからWhatsAppメッセージをエクスポートするために設計された既存のブラウザプラグインを使用して、このデータを盗み出すことができるようになりました。
この攻撃はソーシャルエンジニアリングのみに依存しています。
脆弱性の類は何ら使用されていません。
悪意ある文面は使用していますが、悪意あるソフトウェア(マルウェア)は使用していません。
この攻撃を防ぐことができるセキュリティソリューションはあるのでしょうか。
最後の砦は人の部分です。
気をつけるということしかなさそうです。
ちなみに、この脅威キャンペーンは以前攻撃に使用するインフラを差し押さえられたStar Blizzardの新たな活動であると考えられています。
New Star Blizzard spear-phishing campaign targets WhatsApp accounts
https://www.microsoft.com/en-us/security/blog/2025/01/16/new-star-blizzard-spear-phishing-campaign-targets-whatsapp-accounts/
この記事をシェア |
---|