Attackers Hide RedLine Stealer Behind ChatGPT, Google Bard Facebook Ads
2023/04/12 DarkReading — サイバー犯罪者たちは、Facebook のビジネスページやコミュニティページを乗っ取り、ChatGPT や Google Bard などの正規のスポンサーを装い、AI チャットボットの無料ダウンロードを宣伝する広告を展開している。それらの広告に誘導されたユーザーは、AI チャットボットではなく、RedLine Stealer と呼ばれる有名な情報スティーラー・マルウェアをダウンロードしていることが、研究者たちの調査により判明した。RedLine Stealer とは、オンライン・ハッカー・フォーラムを通じて販売されている Malware-as-a-Service (MaaS) プラットフォームだ。Web ブラウザを標的にして、認証情報や支払いカードの詳細などの、様々なユーザー情報を収集する。さらに、次の攻撃にむけて攻撃対象領域を評価するために、システムのインベントリを取得する。
また RedLine Stealer には、情報窃取だけでなく、ファイルのアップロード/ダウンロードおよびコマンドの実行などの、不正なアクションの機能も実装されている。そのため、たとえ洗練されていない攻撃者であっても、様々なサイバー攻撃を行うことができると、Veriti の研究者たちは指摘している。
4月11日のレポートでは、 Veriti が1月に発見した、AI プラットフォームの人気の高まりを利用する新たなキャンペーンが公表された。同社の研究者たちは、このキャンペーンが3月にピークを迎えるまで追跡調査したという。
研究者たちは、「これらの広告は、OpenAI に関する話題を利用して、正規のものに見えるように設計されており、無知なユーザーを騙してファイルをダウンロードさせる。ユーザーがファイルをダウンロードして解凍すると、RedLine Stealer マルウェアが起動し、パスワードの窃取や、追加のマルウェアのダウンロードなどが行われる」と説明している。
RedLine Stealer は、ダークウェブで $100~$150 程度で販売されており、サイバー犯罪活動に対して大きな投資収益率 (ROI:Return On Investment) をもたらす。それを考えると、このキャンペーンにはうってつけの選択であると、研究者たちは述べている。
Veriti の研究チームは、「さらに、攻撃者たちは、Facebook のビジネス・アカウントと、その無防備なパスワードを悪用することで、膨大な数のユーザーをターゲットにして、比較的低コストで機密情報にアクセスできる可能性があった」と、Dark Reading に語っている。
トロイの木馬化した AI アプリの危険性
AI ベースのチャットボット ChatGPT が、2022年11月に登場した直後から、それを攻撃者が悪用する方法について、様々な議論が交わされた。この脅威が誇張されすぎているという見方もあるが、RedLine のキャンペーンは、今後も同様の攻撃が現れることを示唆するのかもしれない。
攻撃者は、チャットボット自体の AI ベースの機能を利用するのではなく、AI を様々な形でパッケージ化できる最近の動向を利用し、トロイの木馬化させる手法を見出しているのだ。
研究者たちは、「生成 AI プラットフォームに関連する、最も懸念されるリスクの1つとして、モバイルアプリやオープンソースなどのファイル内に、AI パッケージ化する機能である。それを悪用する攻撃者は、ユーザーを騙すための完璧な口実を作り出す」と説明する。
RedLine キャンペーンの攻撃者たちは、OpenAI/Google Bard のダウンロード可能なファイル内に RedLine Stealer をパッケージ化し、広告で宣伝されている AI アプリではなくマルウェアを、無知なユーザーがダウンロードするように誘導する。
このレポートには, 「脅威アクターからの攻撃により、機密データの窃取/金融口座の侵害/重要なインフラの破壊などが生じる可能性があるため、こうした攻撃の潜在的な影響は大きい。その上で、こうした攻撃はより巧妙になっており、検知や防止が難しくなっている」と記されている。
少なくとも 10カ国の数十の Facebook ビジネス・アカウントが、悪意の投稿を通じて RedLine Stealer を配布する目的で、すでに乗っ取られていると、研究者たちは述べている。
最も多くの Facebook ユーザーに対して、攻撃者たちがリーチしている国はギリシャであり、その後に インド/米国/メキシコ/バングラデシュなどが続いているようだ。
その一方で、このキャンペーンによる攻撃の大部分は米国で行われ、その割合は 77%に達しているとのことだ。攻撃の割合が次に高かった国はカナダ(9%) で、メキシコ (6%) /インド (4%) /ポルトガル (2%) と続いている。
悪意のダウンロードから企業を保護するには
Veriti は、サイバー・セキュリティに対する包括的なアプローチを推奨している。このアプローチでは、従業員に対して未知のソースから、ファイルをダウンロードして開くことのリスクについて教育することが必須としている。それに加えて、ユーザーが誤って企業のデスクトップに、Redline のような情報スティーラーをインストールした場合に、企業システムへの侵害を回避するための、堅牢なセキュリティ設定を行うべきだとしている。
同社の研究者たちは、組織が取るべき最初のステップの1つは、実行ファイルのダウンロードを制限し、ダウンロードする前にすべての実行ファイルをサンドボックス化するための、厳格なポリシーを実施することだと述べている。
彼らは、「それにより、悪意のファイルがシステムに感染するリスクを大幅に削減できる。さらに、データ流出を無効化すれば、攻撃者による機密情報を窃取を防ぐことが可能となり、マルウェア対策を有効化にすれば、悪意のファイルが損害をもたらす前に、検出して削除できる」と述べている。
しかし研究者たちは、従業員の教育や、インターネットからダウンロードしたファイルに対するポリシーの設定などの対策は、「ファイアウォール/侵入検知システム/侵入防止システム/定期的なセキュリティ・アップデートなどの、組織における既存のサイバー・セキュリティ保護を補完する必要がある。組織はベスト・プラクティスを実施し、従業員にリスクについて教育することで、攻撃が成功する可能性を大幅に減らすことができる」と締めくくっている。
決して、ChatGPT が悪いという話ではありませんが、さまざまなアプリとの組み合わせを実現するための、容易なパッケージング手法がアダとなり、また、Facebook の広告を介することで、悪意のアプリ汚染が進んでいる状況を指摘する記事です。2023/04/03 の「リモート・ワーカーの 32%が未承認アプリを利用:BYOD の実態を調査する」では、「リモート・ワーカーの 92%が、個人のタブレットやスマートフォンを用いて仕事のタスクをこなしている。また、46%が、仕事のファイルを個人用デバイスに保存している。さらに、45%が、仕事と個人のアカウントで、同じパスワードを使用している」と指摘されていました。よろしければ、Redline で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.