Guardioは9月11日(現地時間)、「“MrTonyScam” — Botnet of Facebook Users Launch High-Intent Messenger Phishing Attack on Business Accounts|by Guardio|Sep, 2023|Medium」において、偽のまたは盗まれた大量の個人アカウントから悪意のある添付ファイル付きのメッセージが、Facebook Messenger上で1か月間にわたり拡散されているとして、注意を呼び掛けた。

  • “MrTonyScam” — Botnet of Facebook Users Launch High-Intent Messenger Phishing Attack on Business Accounts|by Guardio|Sep、2023|Medium

    “MrTonyScam” — Botnet of Facebook Users Launch High-Intent Messenger Phishing Attack on Business Accounts|by Guardio|Sep, 2023|Medium

Guardio Labsによると、このキャンペーンでは評価の高いマーケットプレイスの出品者から大企業に至るまで数百万ものアカウントが標的とされ、約70回に1回成功するという驚異的な成功率を達成しているとみられている。この悪意のあるメッセージの内容は、偽の取引や緊急対応を求めるもので、詳細を添付ファイルから確認するように要求する。受信したユーザーが状況を確認するために添付ファイルを展開して中身のバッチファイルを開くと、認証情報の窃取やアカウントの乗っ取りなどが行われる。

  • フィッシングメッセージの例 引用:Guardio

    フィッシングメッセージの例 引用:Guardio

添付ファイルはRARまたはZIPで圧縮された小さなファイルで、GitHubやGitLabからファイルをダウンロードして実行するだけの小さなバッチファイルが含まれている。これはアンチウイルスソフトウェアなどによる検出を避けるための処置とみられる。GitHubやGitLabからダウンロードするファイルも比較的小さなスクリプトだが、検出を避けるため故意に壊れた文字エンコーディング(UTF-16LE)を装っている。そのため、エディタなどからスクリプトを開いても全体が壊れているようにしか見えないが、実際は先頭の1行目だけが壊れており2行目以降のスクリプトは正常に実行される。

このように検出を避けるため、多段階の難読化手法を用いた複雑な攻撃が行われてりう。Guardio Labsはこのような攻撃手法はほかのキャンペーンでも見られると指摘しており、自動検出による保護が難しい状況となりつつある。

Guardio Labsはこのキャンペーンで得られた情報を分析した結果、攻撃者の起源はベトナムにあると指摘している。その理由として、分析したファイルの中にベトナム語の記述があることや、ベトナムで人気のブラウザが攻撃対象に含まれていることを挙げている。また、Guardio Labsによると、ボットのTelegram/DiscardのAPIトークンが残されていたことから、ボットのユーザー名「AChung8668_BOT」と、その背後にいるとみられるユーザー「MrTonyName」を特定している。

Guardio Labsによると、このキャンペーンではFacebookのビジネスアカウントのうち約0.4%が添付ファイルをダウンロードしており、250アカウントのうち1アカウントが被害にあったとみられている。Guardio Labsはソーシャルネットワーキングサービス(SNS: Social networking service)を狙う闇市場が繁栄し、ますます多くの攻撃者を引き付けている現状に警鐘を鳴らしている。