Intel 471は7月26日(米国時間)、「How cybercriminals are using messaging apps to launch malware schemes|Intel471」において、メッセージアプリがサイバー犯罪者に悪用されていることを伝えた。サイバー犯罪者がTelegramやDiscordなどのメッセージアプリの機能を悪用し、マルウエアの拡散や窃取したデータの一時保存先としていることが判明した。

  • How cybercriminals are using messaging apps to launch malware schemes|Intel471

    How cybercriminals are using messaging apps to launch malware schemes|Intel471

メッセージアプリは、受信者にメッセージを送信するだけでなく、さまざまな機能が提供されているため人気が高い。特にDiscordやTelegramのようなアプリは、ユーザーがプラットフォーム内で使用するプログラムやその他の種類のコンテンツを作成・共有するための基礎的な要素を持っている。これらプログラム(俗に「ボット」と呼ばれる)やコンテンツによってメディアの共有やゲームのプレイ、チャンネルの管理、その他開発者が考案したあらゆる自動化タスクを行えるようになっている。

サイバー犯罪者は、これら機能を悪用して自分たちの利益を得る方法を見つけ出しているという。Intel 471の研究者はDiscordやTelegramの機能を悪用した、サイバー犯罪者グループを発見している。例えば「Blitzed Grabber」と呼ばれるサイバー犯罪者グループはマルウェアで流出させたデータを保存する方法として、DiscordのWebフック機能を使用していることがわかった。マルウェアが窃取した情報をDiscordに送信することで簡単にダークWebマーケットに移動させて販売できるとしている。

Telegramに特化したボット「X-Files」は、Telegram内のボットコマンドでアクセスできる機能を備えている。X-Filesがシステムにロードされるとサイバー犯罪者は、パスワードやクッキー、ログイン情報、クレジットカードなどの重要な情報を窃取し、Telegramチャンネルに誘導させることが可能となる。

Intel 471の研究者は、メッセージアプリが使用するクラウドインフラを悪用してマルウェア拡散キャンペーンが展開されていることも観測している。多くのキャンペーンがDiscordのコンテンツデリバリネットワーク(CDN:Content Delivery Network)を悪用して、マルウェアのペイロードをホスティングしているが明らかとなった。

Discord CDNを使用して悪意のあるペイロードをホストしていることが確認されたマルウェアファミリは次のとおり。

  • PrivateLoader
  • Discoloader
  • Colibri
  • Warzone RAT
  • Modi stealer
  • Raccoon stealer
  • Smokeloader
  • Amadey
  • Agent Tesla stealer
  • GuLoader
  • Autohotkey
  • njRAT

Intel 471の研究者は、DiscordやTelegramのようなメッセージプラットフォームの自動化はサイバー犯罪者の参入障壁を低くしているとし、企業に対する標的型攻撃の第一歩に使われる可能性があると指摘している。また、メッセージングアプリの機能を簡単に利用できることで将来的にさらなるサイバー犯罪に結びつく可能性がある機会を生み出していると警告している。