新たな偽求人ハッキング・キャンペーン、情報窃取マルウェアでWeb3プロフェッショナルを標的に

新たな偽求人ハッキング・キャンペーン、情報窃取マルウェアでWeb3プロフェッショナルを標的に

洗練された新しいハッキング・キャンペーンが、Web3やブロックチェーン業界の個人を食い物にしており、研究者はその拡大する範囲と欺瞞的な戦略について警告している。

この攻撃は、一見何の変哲もない求人情報を通じて被害者を誘惑し、マルウェアをダウンロードさせるというものだ。

タイポスクワット・テレグラム・アカウントによる巧妙なごまかし

Cado Security Labsの専門家によると、このキャンペーンは2024年9月に始まったという。

被害者は通常、typosquattedアカウント（身近な連絡先のユーザー名を詐称したもの）を使ってTelegramで連絡を取る。

このなりすましは高度に標的化されており、攻撃者は攻撃前に時間をかけて被害者を研究する。

最初の働きかけでは、有望な仕事の機会を提供し、ターゲット企業に関連した投資プレゼンテーションを行う。

準備のレベルの高さは明らかだ。

研究者たちによれば、攻撃者は細心の注意を払って舞台を整え、身近なコミュニケーションを映し出し、偽りの信頼感を作り出していたという。

このような計算されたアプローチにより、被害者はその申し出が正当なものであると信じ、やりとりを続ける可能性が高くなる。

偽の会議アプリに隠されたマルウェア

被害者が引き込まれると、Meetenと呼ばれるビジネス会議アプリケーションを使ってビデオ通話に招待される。

しかし、このアプリは本物とはほど遠い。

研究者の報告によると、Meetenは何度もブランド名を変えており、以前はMeetio、Meetone、Clusee、Cueseeといった名前で運営されていた。

攻撃者はこれらのバリエーションを利用して信頼性を高め、被害者をさらにおびき寄せる。

信憑性をさらに高めるために、ミーテンはプロ仕様のウェブサイトを用意している。

被害者は通話中に偽のエラーメッセージを受け取り、アプリを再インストールするかVPN経由で接続する必要があると主張する。

この偽のメッセージは、被害者にさらなる行動を促すよう意図的に設計されており、その一方でマルウェアはバックグラウンドで検知されずに動作する。

Realstマルウェアが暗号通貨と機密情報を盗む

このマルウェアは、被害者のデバイスから機密データを密かに採取する情報窃取プログラムの一種であるRealstと特定されている。

インストールされると、Realstはブラウザに保存されているTelegramの認証情報、銀行カードの詳細、ブラウザのクッキー、ログイン認証情報を盗み出す。

さらに、Keychain認証情報やその他の保存されたアクセスポイントも標的にするため、被害者は金銭的窃盗の被害を受けやすくなる。

専門家は、Web3業界に関連する被害者の割合が高いことから、これらの攻撃の主な目的は暗号通貨の窃盗であると考えている。

これは、デジタル資産にアクセスできる可能性の高い個人をターゲットとするキャンペーンの戦略と一致する。

類似の偽求人詐欺の成功の歴史

ハッキングの手口として偽の求人情報を使うことは、今に始まったことではない。

北朝鮮とつながりのあるラザロのような国家に支援されたグループは、長年この手法を利用してきた。

特に、あるLazarusの攻撃は、ハッカーが様々な暗号通貨で推定6億ドルを持ち逃げするという、史上最大級の暗号強盗を引き起こした。

Cado Security Labsの警告は、このような脅威がいかに進化を続け、ソーシャル・エンジニアリングと技術的操作を駆使して信頼と日和見主義を悪用しているかを浮き彫りにしている。

彼らの調査結果は、このキャンペーンが近いうちに規模を拡大する可能性を示唆しており、Web3の専門家にとって、新しいコミュニケーションや仕事の機会に関わる際には注意を払うことが不可欠であることを示唆している。

Realst'の全容はまだ不明だが、研究者たちは暗号やブロックチェーン業界で働く人たちの警戒を促している。

強固なセキュリティ対策の確保、連絡事項の確認、情報収集は、同様の詐欺被害に遭わないための重要なステップである。