巧妙なマルウェア拡散作戦
この作戦は、カスペルスキーのグローバル調査分析グループ(GReAT)によって2026年6月に発見されました。この攻撃作戦の犠牲者は、マレーシア、ブラジル、シンガポール、台湾(中国)、ベトナムを含む多くの国と地域で記録されており、その中でマレーシアが最も多くの犠牲者を記録しました。
さまざまな言語でのファイル名の使用も、特にヨーロッパ地域の国々で、キャンペーンが広範囲に展開されていることを示しています。
調査結果によると、キャンペーンの背後にいる対象者は、以前に侵入されたWhatsAppアカウントを利用して、悪意のあるコードを含む添付ファイルを拡散しました。
悪意のある者は、これらのアカウントの既存の連絡先からメッセージを送信し、受信者が簡単に信頼してファイルを開くようにしました。マルウェアがアクティブ化されると、攻撃者は、合法的な技術サポートと管理の目的で設計された管理機能を介して、リモートでシステムにアクセスできます。
悪意のある者は、社会技術(ソーシャルエンジニアリング)による詐欺の手口を使用して、支払い請求書、銀行の明細書、口座明細書、支払書類、または債務通知などの使い慣れた業務文書の形で悪意のあるファイルを偽装し、信頼性を生み出し、被害者を欺きました。
ファイル名は、英語、ポルトガル語、フランス語、ドイツ語、マレー語など、多くの言語にローカライズされており、キャンペーンがさまざまな言語地域で展開されていることを示しています。さらに、VBScriptファイルテンプレートには、Microsoft Windows Updateの合法的なコンポーネントを偽造するための大量の注釈とメタデータも含まれています。
Kaspersky GReATのセキュリティ研究者であるファリード・ラジ氏は、「このキャンペーンでは、攻撃者は、マルウェアを含む添付ファイルを送信するために、乗っ取られたWhatsAppアカウントを使用して、メッセージングプラットフォーム上の信頼要素を悪用しています。これらのファイルは、おなじみの連絡先から送信されるため、受信者はそれらを開く傾向が強くなります。
ファイル名は、請求書や支払い通知などの通常の作業文書の形で注意深く偽装され、目標範囲を拡大するために多くの言語にローカライズされています。開かれると、これらのファイルは多段階感染チェーンを活性化し、攻撃者が制御するインフラストラクチャからさらに悪意のあるコンポーネントを密かにダウンロードして実行します。」
アドバイス
マルウェアに感染しないように、サイバーセキュリティの専門家はユーザーに次の推奨事項を提示しました。
- WhatsApp経由で奇妙な添付ファイルを受け取る場合は注意してください。それらがおなじみの連絡先から送信された場合でも、これらのファイルにはマルウェアが含まれており、デバイス上で実行される可能性があるためです。
- .vbs、.vbe、.exe、.bat、.cmd、.js、.ps1などの命令セットファイルまたは実行可能ファイルは、それらの合法性が独立して確認されていない場合は開かないでください。
- すべてのコンピューターとモバイルデバイスで信頼できるセキュリティソリューションを使用する。これらのソリューションは、感染が影響を与える前に、感染のリスクを警告および防止する機能を備えている。
