記事本文(要約)
マルウェア「Latrodectus」が、ディスクに書き込まずメモリ上で実行される社会工学技術「ClickFix」を利用し始めました。これは、IcedIDの後継とされ、他のペイロード(ランサムウェアなど)のダウンローダーとして機能します。2025年5月、Expelはユーザーが感染したウェブサイトからPowerShellコマンドをコピーして実行するよう騙される攻撃を観測しました。このマルウェアは合法的なNVIDIAアプリケーションを利用して悪意あるDLLをサイドロードし、curlを使って主ペイロードをダウンロードします。対策としては、グループポリシーオブジェクト(GPO)を使ってWindowsの「実行」プログラムを無効にすることなどが挙げられています。
さらに、Trend Microの報告によると、TikTok動画を用いた新たなキャンペーンでは、VidarやStealC情報スティーラーを配信しています。ユーザーは、ソフトウェアのアクティベーションを装って悪意あるコマンドを実行するよう誘導されています。
また、Ledger Liveアプリの偽物が、Macユーザーのシードフレーズを盗むために利用されていることが発見されました。この活動は2024年から続いており、仮想通貨ウォレットを狙っています。悪意あるDMGファイルを使い、AppleScriptによってパスワードやノートを流出させ、トロイの木馬版のLedger Liveをダウンロードします。
※この要約はChatGPTを使用して生成されました。
公開日: Fri, 23 May 2025 22:54:00 +0530
Original URL: https://thehackernews.com/2025/05/hackers-use-tiktok-videos-to-distribute.html
詳細な技術情報
以下に、提供された文章に基づいてセキュリティに関する詳細情報をまとめます。
CVE番号
現時点で特定のCVE番号は言及されていません。Latrodectusや関連する攻撃手法に関する特定のCVE情報が公開される可能性があるため、公式なデータベースを確認することが重要です。
脆弱性の仕組み
- ClickFix手法: この手法は、ユーザーの操作を誘導してマルウェアを実行させるソーシャルエンジニアリング戦術です。この技術はディスクに書き込まずにメモリ内で直接マルウェアを実行することで、多くの検出ツールを回避します。
- サイドローディング: 正規のNVIDIAアプリケーションを利用して悪意のあるDLLをサイドロードし、curlを使用してメインのペイロードをダウンロードします。
- マルウェアダウンローダ: Latrodectusは他のペイロード(ランサムウェアなど)をダウンロードするダウンローダとして機能します。
攻撃手法
- PowerShellコマンドの誘導: ユーザーが感染したウェブサイトからPowerShellコマンドをコピーして実行するよう促されます。このコマンドはMSIExecを利用してリモートURLからファイルをインストールし、メモリ内で実行します。
- TikTok経由のソーシャルエンジニアリング: AI生成の可能性があるTikTok動画でユーザーを誘導し、Windowsの非正規コピーをアクティブ化する等の方法でシステムを危険にさらします。
潜在的な影響
- セキュリティ検出による回避: データがディスクに書き込まれることなく実行されるため、ブラウザやアンチウイルスソフトウェアによる検出が困難になります。
- 情報漏洩とランサムウェア攻撃: ユーザーのシステムに侵入し、個人データや財務データの漏洩、またはランサムウェアによるデータの暗号化被害を引き起こす可能性があります。
推奨される対策
- Group Policy Objects (GPOs)の使用: Windowsの実行プログラムの使用を無効化する、または「Windows + R」ホットキーを無効化する方法を使用します。
- ユーザートレーニング: ソーシャルエンジニアリングに対する認識を高め、未知のサイトやメディアでの指示に従わないように教育します。
- セキュリティソフトウェアの強化: メモリ実行の監視機能を強化したセキュリティソリューションを導入し、潜在的な脅威をリアルタイムで検出する。
- 正規のソフトウェアの使用: 常に認証されたソフトウェアとその公式バージョンを使用し続けること。
