ストリーミング戦争に最近参入したこのサービスは、名作や話題のオリジナルシリーズといった充実したライブラリを揃えていません。実際、何度タップしたりクリックしたりしても、映画は全く再生されません。しかし、BravoMoviesのクリエイティブな頭脳は、こうした失態にひるむことはないでしょう。彼らは犯罪的なハッカーであり、彼らの目的は豊かなホームエンターテイメント体験を提供することではなく、ユーザーのコンピュータにマルウェアを仕掛けることです。
セキュリティ企業ProofPointの研究者によって発見されたBravoMoviesキャンペーンは、少なくとも5月初旬から存在していた。一見すると、存在しない映画のポスターや思わず目を背けたくなるような誤字脱字など、多くの要素が不条理に見えるものの、ハッカーが被害者を罠にかけるためにどれほどのことをするかを示している。
フィッシング詐欺と聞くと、おそらくマルウェアが仕込まれたメールの添付ファイルを思い浮かべるでしょう。クリックひとつでトラブルに巻き込まれるのです。しかし、メールサービスは不審なメッセージを受信トレイに送らないようにする技術が向上しており、詐欺師がそのような詐欺を実行するのは難しくなっています。BravoMoviesの背後にいるグループを見ればわかるように、こうした防御策を回避するには、ますます創造性と努力が求められています。
彼らの偽ストリーミングサービスは、BazaLoaderと呼ばれるいわゆるバックドアを配信するための、7段階に渡る複雑なプロセスの一部に過ぎません。確かに、彼らはメールから始めます。しかし、そこにはGmailのセンサーが検知できるような悪意のあるリンクや汚染された添付ファイルは含まれていません。その代わりに、BravoMovies(「世界有数のストリーミングサービスの一つ!」)の無料トライアル期間が終了し、「プレミアムプラン」の料金がクレジットカードに請求されることを通知するだけです。キャンセルしたい場合は、電話番号も親切に提供されています。
スクリーンショット: プルーフポイント
この番号に電話をかけると、このグループが管理するコールセンターにつながります。電話の向こう側のエージェントは、BravoMoviesのサイトに誘導します。そこでは、「Women’s」や「The Dog Woof」といった魅力的な映画のサムネイルが見つかります。サイトのFAQセクションには、2回のクリックで「簡単にアカウントをキャンセルできる」と説明されています。最初のクリックでExcelファイルがコンピュータにダウンロードされます。2回目のクリックでそのファイルのマクロが有効になり、BazaLoaderがコンピュータにインストールされます。
設定には明らかに手間がかかった。これは、現在のマルウェア配信エコシステムの現状を物語っている。「犯罪者は本質的に怠惰だ。金儲けのためには、できる限り手間をかけないだろう」と、メールセキュリティ企業Agariの脅威調査シニアディレクター、クレイン・ハッソルド氏は語る。「マルウェアの実行にこれほど多くの時間を費やさなければならないという事実は、従来のメール配信から得られる投資収益率がいかに低いかを示している」
偽のランディングページは、サイバー犯罪者の手口として既に定番となっています。近年、詐欺師たちはNetflixやDisney+の模倣サイトを何百も作成しています。BazaLoaderグループは以前にも偽サイトを作成しており、ランジェリー販売店を模倣したサイトも存在します。しかし、BravoMoviesはまさにその先を行く存在です。
「偽のストリーミングサイトがこれほどまでに作られた例は、これまで見たことがありません」と、Proofpointの脅威調査・検知担当シニアディレクター、シェロッド・デグリッポ氏は語る。「これは、ソーシャルエンジニアリングの新たなレベルと言えるでしょう。」
BravoMoviesのサイトに掲載されている情報は、必ずしも綿密に検証すると納得できるものではないものの、少なくともこの事業にうっすらと信憑性を与えている。ホームページでは、HDだけでなく「フルHD」や4Kのストリーミング配信も誇っている。タイトルは明らかに馴染みのないものだが、カテゴリー構成は見慣れたものばかりだ。オフライン視聴のためのダウンロードや、様々なデバイス(紛らわしいことに、Blu-rayプレーヤーも含む)との互換性といった、ありがちな特典を謳っている。
映画のサムネイルポスターを説得力のあるものにするため、攻撃者はデザイン専門のソーシャルネットワークBehance、広告会社、そして「How to Steal a Dog(犬を盗む方法)」という書籍から画像を盗み出しました。その結果は少々荒唐無稽なものですが、正直なところ、Netflixのキューの一番下に表示されるものと大差ありません。
スクリーンショット: プルーフポイント
エラーが目立つかどうかは別として…、あなたにとってはそうかもしれません。「無料のウェブサイトビルダーで作られた、まるで子供が作ったようなフィッシングページが、それでも成功しているのを目にしました」とハッソルド氏は言います。「ランディングページまでたどり着いてしまった場合、ほとんどの人が気づいて警戒するような小さなスペルミスは、それほど大きな影響は与えないでしょう。」
このキャンペーンの規模と最終的な目的は依然として不明です。バックドアであるBazaLoaderは、後から登場する、より高度なマルウェアのための一種の準備段階として機能します。北欧神話のビフロスト橋のようなものですが、不機嫌なバイキングの神々ではなく、ランサムウェアのための通路を提供しています。ProofPoint社は、この第二段階のペイロードが何であるかはまだ検出していないと述べていますが、BazaLoaderは悪名高いTrickbotマルウェアの背後にいるグループと密接に関連しています。
BravoMoviesの手法の複雑さには欠点もある。メール保護を回避するのに便利ではあるが、電話をかけるよりもクリックさせる方が簡単だ。「人間とのやり取り、つまり実際に誰かが電話を取って電話をかけるという行為に大きく依存しているため、受信者が脅威アクターと接触する可能性は低い」とProofPointのDeGrippo氏は述べている。彼女はさらに、BazaLoaderグループは通常、1回の攻撃で数万通ものメールを送信し、地域や業界を問わず幅広いターゲットを狙っていると付け加えた。
それでも、彼らがこれほどの時間と労力を費やしたという事実は、計画の複雑さにもかかわらず、それがうまくいっていることを示唆している。もっとエキサイティングな強盗計画は他にもたくさんあるだろう。しかし、少なくとも独創性という点では評価に値する。
WIREDのその他の素晴らしい記事
- 📩 テクノロジー、科学などの最新情報: ニュースレターを購読しましょう!
- アレシボ天文台は家族のようでした。私はそれを救うことができませんでした
- Microsoft Flight Simulatorサーバーの敵対的乗っ取り
- Internet Explorer、さようなら。
- スマホでプロ並みのかっこいいヘッドショットを撮る方法
- オンラインデートアプリは実は大惨事だ
- 👁️ 新しいデータベースで、これまでにないAIを探索しましょう
- 🎮 WIRED Games: 最新のヒントやレビューなどを入手
- ✨ ロボット掃除機からお手頃価格のマットレス、スマートスピーカーまで、Gearチームのおすすめ商品であなたの家庭生活を最適化しましょう
