CrowdStrikeの偽採用アプリでXMRigをインストールさせるキャンペーンが確認される

codebook 編集部

2025.10.28

ウィークリー・サイバーラウンド・アップ

CrowdStrikeの偽採用アプリでXMRigをインストールさせるキャンペーンが確認される

CrowdStrike – January 8, 2025

CrowdStrikeの研究者は2025年1月7日、同社の採用ブランディングを悪用して偽の従業員CRMアプリをダウンロードさせるフィッシングキャンペーンを発見した。このアプリはクリプトマイニング型マルウェア「XMRig」のダウンローダーとして機能しており、フィッシングメールには採用プロセスの一環であることを思わせる文章が記されているほか、WindowsとmacOS向けのダウンロードオプションを提供する有害サイトへのリンクが含まれている。このリンクはどちらを選んだとしても、XMRigのダウンローダーとして機能するRustのWindows実行ファイルがダウンロードされる仕組みになっている。この実行ファイルはインストールプロセス中のエラー発生を伝えるメッセージを表示し、その後にテキストファイルをダウンロードすると、このテキストファイルを使ってXMRigのコピーを含むZIPファイルをGitHubからダウンロードする。

モサドのインテリジェンスレポート装う文書がXWormを配布　中東のユーザーが標的に

Broadcom – January 7, 2025

イスラエル諜報特務庁（モサド）から流出したインテリジェンスレポートに見せかけ、中東のユーザーを標的にする進行中のキャンペーンについてBroadcomの研究者が詳述した。このドキュメントの目的は、リモートデスクトップアクセスやキーロギング、持続性の確立、データの抽出を行う機能を持つリモートアクセス型トロイの木馬「XWorm」を配布すること。盗まれた情報は、指定のBotTokenやChatIDを使ってTelegramボットに送信される。感染チェーンの起点は、正規の文書を装ったJavaScriptファイルとバッチファイルを含むRARアーカイブで、これを実行すると、さらなる活動に使うPowerShellを起動する有害なJPGを取得する。また、検知を避ける目的で正規プロセスをいくつか終了し、持続性を維持するために現在のユーザーのレジストリエントリも改ざんする。

偽WordPressプラグイン「PhishWP」、個人情報や金銭関連情報の窃取に利用される

SlashNext – January 6, 2025

SlashNextの研究者は、正規サイトをフィッシングページに変える有害なWordPressプラグインについて警告した。「PhishWP」と呼ばれるこのプラグインはStripeなど信用性のあるサービスを装った偽の決済ページを作成するもので、偽ページはクレジットカード番号や個人情報、ブラウザのメタデータといった機微情報を盗むために使用される。攻撃は信頼されたWordPressサイトに侵入するか、偽サイトを作成することから始まる。またフィッシングキャンペーンの効果を高めるため、PhishWPはカスタマイズ可能なチェックアウトページを使う、あるいは3DSコードの収集やブラウザのプロファイリングを行うほか、自動応答メールと多言語サポート、難読化技術を使用する。

米社会保障局に扮したフィッシングキャンペーンでConnectWise RATが配布される

Cofense – January 3, 2025

Cofenseの研究者により、米国社会保障庁を装ってリモートアクセスツール（RAT）「ConnectWise」を配布するフィッシングキャンペーンが観測された。このキャンペーンは2024年9月16日に初めて確認されたが、その後にEメールをさらに進化させ、より巧妙なメールスプーフィング手法や回避戦術、クレデンシャルフィッシングの試みを特徴とするようになっている。このキャンペーンがピークに達したのは同年11月11日および12日で、米国大統領選挙の1週間後だった。EメールにはConnectWise RATのペイロードへ1回だけリダイレクトするリンクが埋め込まれており、このリンクにその後アクセスしても社会保障庁の正規サイトへリダイレクトするようになっている。RATがインストールされた後、被害者はクレデンシャルフィッシング用のフォームに入力するよう指示されるため、脅威アクターは個人情報や金銭関連情報を盗むだけでなく、多要素認証チェックのバイパスや偵察もできるようになる。

中東の銀行顧客が返金詐欺の標的に

Group-IB – January 8, 2025

政府関係者に扮して中東諸国の銀行顧客を狙い、リモートアクセスソフトウェアを使ってクレジットカード情報とワンタイムパスワード（OTP）コードを盗む詐欺行為がGroup-IBの研究者によって確認された。被害者の多くは政府ポータル経由で苦情を寄せ、返金を要求する個人で、リモートアクセスソフトウェアのインストールに先立って情報窃取プログラムに感染させられている。攻撃者は政府関係者になりすまし、苦情の解決を装って被害者に連絡。苦情解決用の公式アプリとリモートアクセスアプリをインストールさせると、リモートアクセスコードの共有に加え、公式アプリにクレジットカードの写真をアップロードするよう要求することで、被害者の画面を確認してクレジットカードの詳細を盗み出す。画面に表示されたテキスト通知はOTPも含めて傍受され、不正利用に使用されている。