Kasperskyがフィンテック分野を狙うTelegram経由の攻撃活動を特定

Kasperskyのグローバル調査分析チーム(GReAT)が、インスタントメッセージアプリのTelegramを通じて、トロイの木馬型スパイウェアを配布するAPT（持続的標的型）攻撃グループ「DeathStalker」の新たな世界規模の攻撃活動を発見した。この攻撃活動は、フィンテックや金融サービスの電子取引に関わる個人や企業を狙い、配布されるマルウェアは高度な機密性データを盗み出し、ユーザーのデバイスを乗っ取ってスパイ行為を行うよう設計されている。

従来のフィッシング手法とは異なり、メッセージングアプリのチャンネルが利用され、ユーザーが送信者を信頼しやすく、悪意のあるファイルを開く可能性が高まる。また、メッセージングアプリからのファイルダウンロードではセキュリティ警告が出にくいため、攻撃者にとって有利だ。

GReATのリサーチャーたちは、この攻撃活動が金融インテリジェンスのサービスを提供する悪名高きHack-for-hire型のAPT攻撃グループ、DeathStalkerと関連していると考えている。最近の一連の攻撃では、攻撃グループは標的をリモートアクセス型トロイの木馬（RAT）マルウェア「DarkMe」に感染させていた。このマルウェアは感染させたデバイスから情報を盗み出し、犯罪者が管理するサーバーからリモートでさまざまなコマンドを実行するよう設計されていた。この攻撃活動は少なくとも2023年10月から続いており、最新の痕跡は2024年8月に確認されている。

この攻撃活動の技術的な特徴から、DarkMeがTelegram内のフィンテックや株式、暗号資産（仮想通貨）などのトピックに特化したチャンネル経由で配布された可能性が高いと見られている。攻撃活動は世界規模で、欧州、アジア、ラテンアメリカ、中東の20カ国以上で標的となったユーザーが確認されているが、現在のところ、日本での攻撃活動は確認されていない。

リサーチャーが感染経路を解析した結果、攻撃者はTelegramのチャンネルへの投稿に悪意のあるアーカイブファイルを添付していたと推測している。RARやZIPなどのアーカイブ自体は有害ではないが、その中に「.LNK」「.com」「.cmd」などの拡張子がついた有害なファイルが含まれていた。