ESET、Discordを利用していなくても感染するマルウェアについて解説 安全性を高める対策とは?
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「Discordを利用していなくても感染するマルウェアとは」を再編集したものです。
Discordのファイル共有機能によるURLを悪用するダウンローダーを2022年10月マルウェアレポートで紹介した。本記事では、レポートで紹介しきれなかったDiscordを悪用した事例を紹介する。
Discord(ディスコード)とは
Discordは、Discord社が提供するオンラインチャットツールだ。テキストでのやり取りに加え、通話でのやり取りが可能である。多くのオンラインゲームユーザーに利用されており、さまざまなコミュニティ運営での利用も行われている。
Discordは、自社で運営しているCDN(コンテンツデリバリーネットワーク)によって、ファイル共有機能を提供している。ほかにも、Discord APIやWebhook機能なども提供しており拡張性に優れている。
2022年10月のマルウェアレポートで紹介したが、攻撃者はファイル共有機能で作成したURLによってマルウェアの配布を行っている。ESET社によると、さまざまな種類のランサムウェアを始め、AgentTesla、Lokibot、Nanocore、Remcosなど、多数の既知のRAT(Remote Access Trojan)が確認されている。
Discord(ディスコード)の悪用事例
Discordの悪用については、2016年頃にESET社が注意喚起を行っており、セキュリティ企業のSophos社が、2020年第二四半期にDiscordのCDNでマルウェアにリンクされた17,000の固有のURLを確認している。
今回は、2つの悪用事例を紹介する。
コロンビア国内における「njRAT」の配布キャンペーン
2022年の年初から数ヶ月間、コロンビア国内において「njRAT」の配布キャンペーンがあったとESET社が公表した。ESET社の研究者は、このキャンペーンを「Operation Discord」と呼んでいる。
njRATは、感染した端末を遠隔で操作するRATの1つだ。感染したコンピューターをリモートで制御し、ファイルの送受信やキーストロークのログ記録、スクリーンショットの撮影、カメラ画像の撮影、オーディオの録音などの操作を可能にする。
このキャンペーンでは、コロンビアの機関を装ったフィッシングメールに添付ファイルが使用されていた。添付ファイルには、Visual Basicで書かれたスクリプトが含まれており、DiscordのCDNを悪用したURLからPowerShellスクリプトをダウンロードする。PowerShellスクリプトが実行されると、最終的にnjRATがダウンロードされる。
内部記事リンク:甚大な被害をもたらすビジネスメール詐欺を阻止するために
https://eset-info.canon-its.jp/malware_info/special/detail/220831.html
Discordを悪用する情報窃取マルウェア「Blitzed Grabber」
Blitzed Grabberは、情報窃取型のマルウェアの1つだ。DiscordのWebhook機能を悪用して、窃取したデータを保存する*1。Webhookは、Webアプリケーション上のイベントをきっかけに、別のアプリケーションへHTTP通信でデータを送信できる機能で、Discordでは別サービスからの通知を受け取るBotに利用されている。この機能を悪用することで、自動化されたメッセージとデータの更新を被害者のマシンから特定のメッセージチャンネルに送信することを可能にしている。
*1 How cybercriminals are using messaging apps to launch malware schemes - Intel471
Blitzed Grabberは、自動入力データ、ブックマーク、ブラウザー Cookie、仮想プライベート ネットワーク(VPN)クライアントからの資格情報、支払いカード情報、暗号通貨 ウォレット、オペレーティング システムの情報、パスワード、Microsoft Windows プロダクト キーなど、あらゆる種類の情報を盗むことができる。窃取された情報は、攻撃者自身が悪用するだけでなく、ダークウェブ上で販売される恐れがあることに注意が必要だ。
Discord(ディスコード)を悪用した脅威への対策
このようなCDNを悪用したURLによるマルウェアのダウンロードを防ぐためには、以下のような対策が重要である。
・ファイアウォールやセキュリティ製品のパーソナルファイアウォールで、CDNを悪用したURLの通信をブロックする
・不審な添付ファイルやURLを不用意に開かない
・スクリプトファイルの既定のアプリケーションをテキストエディターに変更する
Discordは、オンラインゲームなどのやり取りで利用されるケースが多いため、仕事で使用する端末では関係ないように思われるかもしれないが、攻撃者がDiscordのCDNを悪用する手法で、利用ユーザーであるかどうかは関係なく行っているため注意が必要である。
また、Discord以外にもCDNが悪用されたサービスが確認されている。世界中に整ったインフラと拡張性があるサービスは悪用しやすく、さらに正規のサービスを利用しているため、セキュリティ製品による検知・ブロックを回避しやすいことが背景にあると考えられる。
そのため、Discordを始めとしたCDNを悪用するマルウェアの情報を収集し、組織内で共有していくことが重要だ。