Discordのボットを悪用するマルウェアが登場

ボイスチャットやテキストチャットが可能な「Discord」や「Telegram」は、単なるメッセージアプリの域を超える多様な機能を有している点が特徴で、ユーザーは「ボット」と呼ばれるプログラムを導入することもできます。このボットを使えば、ユーザーは音楽を再生したり、簡単なゲームをプレイしたり、その他のタスクを自動で実行したりすることも可能です。そんなメッセージアプリのボットを悪用するマルウェアが登場しており、話題を呼んでいます。

How cybercriminals are using messaging apps to launch… | Intel471
https://intel471.com/blog/cybercrime-telegram-discord-automation-chatbots

Messaging Apps Tapped as Platform for Cybercriminal Activity | Threatpost
https://threatpost.com/messaging-apps-cybercriminals/180303/

サイバーセキュリティ企業のIntel471が、メッセージングアプリを駆使して独自のマルウェアを拡散するサイバー犯罪者の存在を発見しました。Intel471によると、このサイバー犯罪者はDiscordやTelegramのボットと情報を盗みだすインフォスティーラーを併用して、ユーザーの資格情報を盗み出すそうです。

Intel471のアナリストは、DiscordまたはTelegramで配布されている無料のボットの中に紛れ込んでいるインフォスティーラーを発見しました。ボットに紛れ込んでいるインフォスティーラーのひとつは「Blitzed Grabber」と呼ばれるもので、これは盗み出したデータを保存するために、Discordの「Webhook(ウェブフック)」と呼ばれる機能を使用するそうです。このWebhookを利用することで、サイバー犯罪者は被害者のマシンから特定のメッセージングチャンネルに自動メッセージやデータ更新を送信することが可能となります。つまり、サイバー犯罪者はWebhookを使うことで、Discord経由での情報傍受を続けたり、盗んだ認証情報を別の端末に移動させたりすることが可能となるわけです。

Blitzed Grabberを含むインフォスティーラーは、自動入力データ・ブックマーク・ブラウザCookie・VPNクライアントの認証情報・クレジットカード情報・仮想通貨ウォレット・OS情報・パスワード・Windowsプロダクトキーなど、さまざまな情報を盗み出すことが可能です。また、Blitzed Grabber、Mercurial Grabber、44Caliberなどの一部のインフォスティーラーは、マインクラフトやRobloxといった人気ゲームの認証情報も盗み出す模様。

Intel471が発見したTelegramに特化した別のマルウェアボットが「X-Files」です。このマルウェアが被害者の端末に侵入すると、Google Chrome・Chromium・Opera・Slimjet・Vivaldiといった複数のブラウザからパスワード・セッションCookie・ログイン情報・クレジットカード情報などの情報を盗み出し、その情報をサイバー犯罪者の選んだTelegramチャンネルに送信します。

さらに別のインフォスティーラーである「Prynt Stealer」は、X-Filesと同じように機能しますが、Telegramコマンドは利用しません。

さらに、これらのインフォスティーラーを悪用するサイバー犯罪者が、メッセージアプリの利用するクラウドインフラストラクチャーを悪用し、マルウェアを拡散していることも突き止めています。多くのサイバー犯罪者がDiscordのコンテンツデリバリネットワーク(CDN)を使用して、マルウェアのペイロードをホストしていることも明らかになりました。

「DiscordのCDNを使用してマルウェアのペイロードをホストする」という手法は、2019年初頭に初めてIntel471のマルウェア調査システムに検出されましたが、それ以降もさまざまなサイバー犯罪者に悪用されているとのこと。なお、マルウェアを利用するサイバー犯罪者は、悪意のあるペイロードをホスティングするためにDiscordのCDNにアップロードする際、一見何の制限も受けていないように見えるそうです。

なお、DiscordのCDNを悪用していることが確認されているマルウェアは以下の通り。

・PrivateLoader
・Discoloader
・Colibri
・Warzone RAT
・Modi loader
・Raccoon stealer
・Smokeloader
・Amadey
・Agent Tesla stealer
・GuLoader
・Autohotkey
・njRAT

Intel471は以前、ワンタイムパスワード(OTP)トークンを傍受するためにTelegramボットを活用するサービスの増加を観測していました。悪意のある攻撃者は、このOTP傍受ボットをサイバー犯罪者向けのフォーラム上で販売しているそうです。

また、Intel471のアナリストは2022年4月に「Astro OTP」と呼ばれる別のボットも観測しています。Astro OTPはオペレーターがOTPとショートメッセージサービス(SMS)認証コードを傍受できるようにするというもの。サイバー犯罪者はTelegramのインターフェースを介してボットを直接制御することが可能となります。

これらのボットは1日の利用権を25ドル(約3400円)ほどで、生涯利用権は300ドル(約4万1000円)程度で購入可能です。

情報を盗み出すだけのインフォスティーラーは、ランサムウェアなどのマルウェアほど大きな被害を出すことはありませんが、企業に対する標的型攻撃の最初の一歩となる可能性は十分にあります。DiscordやTelegramのようなメッセージアプリは、主に業務に利用されているわけではありませんが、人気の増加とリモートワークの増加により、利用者は確実に増加しています。そのため、サイバー犯罪者の攻撃対象となる標的は、過去数年で格段に増加していることは明らかです。このような状況が低レベルのサイバー犯罪者がスキルを磨く場となり、さらなるサイバー犯罪の温床となることをIntel471は危惧しています。