攻撃者はFacebookグループのユーザーに、AI生成ツールと称するツールを提供していますが、ユーザーが偽の「ツール」にメディアをアップロードすると、マルウェアに感染させられます。
セキュリティベンダーのMorphisecは5月8日、Facebookなどのソーシャルメディアサイトで「AIをテーマにしたプラットフォーム」を宣伝するキャンペーンの詳細を発表しました。このプラットフォームでは、AI画像、動画、ウェブサイト、ロゴなどの生成が提供されています。
しかし、ユーザーが参考画像などをアップロードすると、偽ウェブサイトがその素材を「処理」し、完成品をダウンロードするようユーザーに指示します。少なくともこのキャンペーンにおいては、その完成品こそがマルウェアです。 Morphisec の研究者 Shmuel Uzan 氏は、調査ブログ記事 で、「Noodlophile Stealer」の亜種について詳細に説明しています。これは、ブラウザの認証情報の盗難、ウォレットからの情報の引き出し、そしてオプションでリモートアクセスの展開も兼ね備えた、スイスアーミーナイフのようなマルウェアです。
LLM が盛んに宣伝されている昨今、このようなマルウェア攻撃は、個人だけでなく、無料のマーケティングツールへのアクセスを狙う中小企業も標的にする可能性があります。
攻撃の仕組み
脅威アクターは、ユーザーに生成 AI ツールを提供すると主張する Facebook グループを作成し、特に Luma AI の Dream Machine 製品(本来は正規の LLM ツール)を装います。
これらのグループには、ファイルやプロンプトをさまざまなメディアやマーケティング資料に変換することを約束する、偽の、信憑性のあるウェブサイトへのリンクが含まれています。ウザン氏は、数千人のフォロワーを抱えるグループが数多く存在すると説明した。「ソーシャルメディアプラットフォームで簡単に検索するだけで、大規模なグループが見つかることが多く、こうした偽ツールのリーチと可視性を高めるネットワークが形成されるのです。」
前述の通り、処理の最後に、ウェブサイトはユーザーに完成したファイルをダウンロードするよう指示します。ここでマルウェアが入り込むのです。
ブログ記事には、「最終段階で、ユーザーは『処理済み』コンテンツをダウンロードするよう��指示されます。しかし実際には、ユーザーは知らないうちに悪意のあるファイルをダウンロードしてしまうのです」と記されています。「このファイルは、NoodlophileやXWormにバンドルされたNoodlophileなどのマルウェアをシステムにインストールし、攻撃者がデータを盗み、認証情報を入手し、感染したデバイスにリモートアクセスすることを可能にします。」
Noodlophileとそれに付随するワームは、これらの偽ウェブサイトからダウンロードされた一連のコンポーネント(.NETローダーやパーシステンススクリプトの指示など)から始まる攻撃チェーンの最終段階としてインストールされます。Noodlophileはブラウザの認証情報、Cookie、暗号通貨を窃取し、Telegramボットに送信します。Morphisecの調査には、侵害の兆候(IOC)が含まれています。
Noodlophile自体はマルウェアとマルウェア開発者の両方を指し、Uzan氏によると開発者はベトナム系である可能性が高いとのことです。このマルウェアは、Malware-as-a-Service(MaaS)スキームの一部として提供されています。
Defender の教訓
このようなキャンペーンは、経済的な逆風と厳しい予算が相まって、中小企業の従業員がウェブサイトにアクセスし、低コストまたは無償のマーケティング資料を作成する機会を捉えたにもかかわらず、このような手口を回避するための訓練を受けていなかったために侵害を受けてしまうという状況を生み出す可能性があるため、非常に厄介です。
Morphisec の CTO である Michael Gorelik 氏は Dark Reading に対し、このキャンペーンの主な標的はフリーランサー、AI 愛好家、中小企業、そして一般ユーザーであり、感染は中規模企業で確認されており、少なくとも 1 件の「スティーラーペイロードが完全に実行される前にブロックされた」ケースもあったと述べています。
ゴレリック氏は、信頼できるソースから提供されているかどうか不明な無料または未検証のAIプラットフォームは避け、「ビジネスと個人の活動を厳密に分離する」べきだと述べています。また、.zipや.rarなどのダウンロードしたアーカイブファイルには注意し、フィッシング詐欺や危険な行為を避けるようユーザーを教育することも推奨しています。