🛡 概要
ブラジルで自己増殖型マルウェアがWhatsAppを通じて広がっており、特に企業ユーザーをターゲットにしていることが明らかになりました。Trend Microの研究者によれば、この攻撃キャンペーンは「Water Saci」と名付けられ、金融機関や暗号通貨交換所のアカウントを狙う情報盗難を目的としています。攻撃者は、感染したアカウントのWhatsAppセッションを利用して、被害者の連絡先やグループに悪意のあるzipファイルを自動的に送信します。
🔍 技術詳細
Water Saciキャンペーンの最終的なペイロードは「Sorvepotel」と呼ばれ、主にWindowsシステム上で活動します。このマルウェアは、感染したアカウントからのWhatsAppメッセージを介して拡散し、メッセージにはデスクトップで開く必要があるzipファイルが添付されています。Sorvepotelは、感染したマシン上でWhatsApp Webがアクティブであるかを検出し、もしそうであれば、同じ悪意のあるzipファイルをすべての連絡先に自動的に配布します。このマルウェアは、特にブラジルの銀行や暗号通貨ユーザーをターゲットにし、ブラウザのURLを監視して特定の金融機関のサイトにアクセスする際に悪意のあるペイロードを実行します。
⚠ 影響
このマルウェアは、主に政府機関や公共サービス、製造業、技術、教育、建設業に影響を与えています。現在のキャンペーンはほぼブラジルに限定されていますが、他のラテンアメリカ諸国も脅威にさらされる可能性があります。特に企業環境では、WhatsAppの利用が一般的なため、感染のリスクが高まっています。攻撃者は、信頼感を悪用してメッセージを送信し、ユーザーにzipファイルを開かせることで、迅速に感染を広げています。
🛠 対策
Trend Microは、Water Saciの拡散を防ぐため、企業ユーザーに対してWhatsAppでのメディアやドキュメントの自動ダウンロードを無効にするよう推奨しています。また、エンドポイントセキュリティやファイアウォールポリシーを使用して、WhatsAppやTelegramなどの個人アプリケーションを通じたファイル転送を制限することが重要です。さらに、BYOD(私物端末の持ち込み)を許可している場合は、厳格なアプリケーションホワイトリストやコンテナ化を実施し、敏感な環境を保護する必要があります。従業員には、知らない連絡先からの予期しない添付ファイルや疑わしいリンクをクリックしないよう教育することも重要です。
