Trustwaveは7月15日(米国時間)、「Facebook Malvertising Epidemic – Unraveling a Persistent Threat: SYS01」において、サイバー攻撃者によるFacebookの悪用調査の過程で「SYS01」と呼ばれる情報窃取マルウェアの亜種を発見したと伝えた。Trustwaveは、「(PDF) Facebook Malvertising Epidemic - UNRAVELING A PERSISTENT THREAT: SYS01 - PART 1」において、調査レポートを公開している。
マルウェアマルウェアの
調査レポートによるとTrustwaveの脅威インテリジェンスチームは、最近のマルバタイジングキャンペーンにおいて情報窃取マルウェア「SYS01」の亜種の配布を確認したという。この亜種はWebブラウザから認証情報を窃取する機能を持ち、攻撃者は窃取した認証情報からアカウントを乗っ取る。
マルバタイジングキャンペーンでは主にFacebook、YouTube、LinkedInの広告を悪用する。広告の内容はWindowsテーマ、ゲーム、AI(Artificial Intelligence)ソフトウェアなど多岐にわたり、広告にアクセスしたユーザーに悪意のあるアーカイブファイルを配布する。
アーカイブファイルには正規のインストーラーなどが含まれており、実行するとサイドローディング技術を使用して悪意のあるDLL(Dynamic Link Library)が実行される。この悪意のあるDLLはセキュリティソリューションの検出、回避機能を持つとされる。その後、複数のスクリプトを実行して、最終的にマルウェア「SYS01」を展開する。
SYS01はWebブラウザから認証情報を含むデータを窃取し、攻撃者のコマンド&コントロール(C2: Command and Control)サーバに送信する機能を持つ。攻撃者は窃取した認証情報を悪用してFacebookアカウントを乗っ取り、悪意のある広告を展開してさらなる感染拡大を試みる。
対策
Trustwaveは、発見したマルバタイジングキャンペーンを現在進行中として偽広告に注意するよう呼びかけている。また、この攻撃を回避するために、次のような対策を推奨している。
- 従業員に偽広告の見分け方を教育する
- ソフトウェアを最新の状態に維持する
- オンラインアカウントに多要素認証(MFA: Multi-Factor Authentication)を設定する
- 定期的にWebブラウザのCookieを削除する
- ダークWebに侵害された資格情報が公開されていないかどうかを監視する
今回確認されたサイバー攻撃は特定個人を標的にするものではなく、侵害可能なすべてのユーザーの資格情報を窃取してアカウントを乗っ取る。Trustwaveは企業アカウントが乗っ取られた場合の影響は大きいとして、企業や組織に対策の強化を推奨している。