Telegramを狙った新たなフィンテック関連攻撃の実態とは？

Kasperskyのグローバル調査分析チーム（GReAT）は、オンラインコミュニケーションに使用されるインスタントメッセージアプリ「Telegram」を介して、トロイの木馬型スパイウェアを広める新たなサイバー攻撃活動を発見しました。この活動は、特にフィンテックや金融サービスに関連する個人や企業がターゲットとなっており、攻撃者はこれらのユーザーからパスワードやその他の機密データを窃取することを目的としています。

攻撃グループ「DeathStalker」の正体

この攻撃を仕掛けているのは、APT（持続的標的型攻撃）グループ「DeathStalker」と呼ばれる悪名高いハッカー集団です。彼らは、専門的なハッキングや金融情報の収集を行う雇われハッカーとして知られており、少なくとも2018年から本格的な活動を開始していると考えられています。このグループは、企業情報やプライベートな個人情報を収集するために、特に中小企業やフィンテック企業を標的としており、最近の攻撃活動は、リモートアクセス型トロイの木馬「DarkMe」を用いています。

メッセージングアプリを利用した巧妙な手法

DeathStalkerは、従来のフィッシング方式を脱して、Telegramのチャンネルを利用する手法を採用しています。このため、標的となるユーザーは送信者を信頼しやすく、悪意あるファイルを開いてしまう可能性が高まります。さらに、メッセージングアプリ経由でのファイルダウンロードは、通常のインターネット経由の場合と比べてセキュリティ警告が少ないため、攻撃者にとって非常に都合が良い環境を作り出しています。

リサーチによれば、この攻撃は世界的なもので、欧州、アジア、ラテンアメリカ、中東など、20カ国以上で被害者が確認されています。しかし、日本においては、これまでのところ攻撃の兆候は見られていません。

マルウェアの感染メカニズム

リサーチャーによると、攻撃者はTelegramのチャンネルに悪意あるアーカイブファイル（RARやZIPなど）を添付していると考えられています。これらのアーカイブには、「.LNK」や「.cmd」といった有害なファイルが含まれており、これを実行された場合、最終的なマルウェアであるDarkMeがデバイスにインストールされてしまいます。このマルウェアは感染したデバイスから情報を抜き取るだけでなく、サイバー犯罪者が管理するサーバーから遠隔でコマンドを実行する機能も持っています。

また、攻撃者は感染したデバイスが価値のないものであると判断した場合には、マルウェアを終了させるキルコマンドを送信しますが、有用なターゲットとみなした場合は追加のツールを展開します。また、攻撃終了後には痕跡を残さないために、インストールに使用したファイルやツールを削除することも確認されています。

今後の警戒が必要

GReATのリーダーであるマーヘル・ヤマウトは「Telegramなどのメッセージングアプリへの警戒も必要です。特に不審なメールやリンクに気を付けることが重要ですが、普段使っているアプリのリスクを理解しておくことも同様に大切です」と述べています。メッセージングアプリの利用が増える中、こうした新しい形のサイバー攻撃が今後も増える可能性があるため、注意を払う必要があります。

Kasperskyは、これまでの供給チェーン攻撃やマルウェア活動に対する研究を強化し、企業や個人に対するサイバー脅威に対抗するための最新の知見を提供していくことを約束しています。オンラインで安全に過ごすためのツールと情報を提供し、すべてのユーザーがサイバーセキュリティ意識を高められるよう努めています。詳細な情報はKaspersky公式サイトで確認できます。

会社情報