「あなたのSNS広告で著作権侵害を確認しました、詳細はこちら」→マルウェア配布 IIJが攻撃メールを複数確認

[ITmedia]

　IIJは10月7日、著作権侵害通知をかたり、マルウェアのダウンロードを促すメールを複数確認したとして注意を呼び掛けた。同社の広報問い合わせ窓口でも8月末から複数受信している他、ユーザー企業にも同様のメールが送られているといい、文面などの詳細を公開している。

IIJが確認したメール文面例（同社の報告から引用、以下同）

　IIJはフリーメールのアドレスから、マスメディアやエンターテインメント企業をかたって送信するメールを複数確認した。いずれもSNS広告の著作権侵害を指摘する内容で、その資料として短縮したURLを提示する点が特徴。URLにアクセスするとさらに別の短縮URLにリダイレクトされ、ZIPファイルをダウンロードさせられるという。

　IIJは「ファイルの配布には攻撃者の用意したサーバのほか、正規のオンラインストレージサービスが用いられている場合もある」としており、一連の手口について「複数の短縮URLサービスも含め正規サービスを用いることで検知回避を狙ったものと推測される」とみている。メールの件名やファイル名の例は以下の通り。

メール件名例

• 著作権違反に関する法的支援要請 Fanpage <企業名>
• 著作権違反補償要請 Fanpage <企業名>
• 著作権で保護されたコンテンツの無断使用に関する通知
• <かたられた企業名> 知的財産権の侵害

ファイル件名例

• 違反の証拠.zip
• 著作権関連ドキュメントのコレクション.zip
• Documenation with proof of copyright infringement.zip
• 捜査文書から収集された証拠.zip

　ZIPファイルから感染するマルウェアはRhadamanthys Stealer」または「PXA Stealer」を確認している。前者は2024年10月ごろから米Cisco Systemsなどが同様の手口についてレポートを公開しているが、後者は25年8月以降のレポートで言及され始めているといい、IIJは後者の例について詳しい解析結果を公開している。

　IIJによれば、ZIPファイルを展開すると文書ファイルを装った実行ファイルが表示され、実行するとPXA Stealerに感染する。PXA Stealerは端末に感染すると、WindowsレジストリのRunキーに自分自身を実行するコマンドを登録。ユーザーが端末にログインしたとき、自動でPXA Stealerが実行されるように設定するという。

PXA Stealerの感染フロー

　さらにインターネット接続時の送信元IPアドレスや端末が存在する国名、端末がインストールしているアンチウイルスソフトや画面のスクリーンショット、ブラウザの自動入力情報、暗号資産のウォレットに関する情報を収集し、Telegramに送信するという。米セキュリティ企業SentinelOneの報告によれば、上記に加えパスワードやクレジットカード情報を収集する可能性もあるとしている。

収集した情報をTelegramへ送信する様子

　IIJは「著作権侵害通知のように攻撃者はメールの開封や悪意のあるURLにアクセスさせるため受信者の恐怖心を煽る内容のメールが用いられることが少なくない。緊急で対応が求められるようなメールを受信した場合でも、まずは事実確認を行うなど、冷静に対応するよう注意してほしい」と呼び掛けている。