Zscalerは2月25日(米国時間)、「DeepSeek Lure Used To Spread Malware|ThreatLabz」において、DeepSeekがマルウェアの拡散に悪用されたとして、注意を呼び掛けた。

攻撃者はDeepSeekの人気に乗じて、偽サイトを構築して情報窃取マルウェアを配布したとされる。

  • DeepSeek Lure Used To Spread Malware|ThreatLabz

    DeepSeek Lure Used To Spread Malware|ThreatLabz

DeepSeekを悪用した攻撃の概要

ZscalerはDeepSeekの人気を利用する偽サイトを複数発見している。中でも、マルウェア拡散のキャンペーンに関与した偽サイトについて詳しく解説している。

  • DeepSeekのなりすましサイトの例 - 引用:Zscaler

    DeepSeekのなりすましサイトの例 引用:Zscaler

このキャンペーンでは最初に人間による操作を確認するCAPTCHAページに誘導する。Webページには悪意のあるJavaScriptが設置されており、悪意のあるPowerShellスクリプトをクリップボードにコピーし、ユーザーに実行するように要求する。

ユーザーが指示に従い操作を行うと、最終的に情報窃取マルウェア「Vidar」が実行される。指示はCAPTCHAの検証操作の一環として要求されるため、だまされる可能性があるという。

  • CAPTCHAの一環として要求する操作の例 - 引用:Zscaler

    CAPTCHAの一環として要求する操作の例 引用:Zscaler

このキャンペーンにより配布されたVidarは、次の情報を窃取するとされる。

  • ユーザーの資格情報
  • 暗号資産ウォレットの情報
  • WebブラウザのCookie
  • Webブラウザにインストールされた暗号通貨に関連する拡張機能の情報
  • Webブラウザの自動入力データ
  • 特定のファイル
  • 侵害手順 - 引用:Zscaler

    侵害手順 引用:Zscaler

対策

DeepSeekのように新しいブランドが登場すると、攻撃者は積極的に悪用する傾向にある。また、生成AIの登場により攻撃の高度化、高速化が進んでいる。Zscalerは生成AIとアプリの使用について、管理ポリシーとセキュリティ制御を明確に定義することを推奨している。

最後に、Zscalerはなりすましサイトの一覧や標的とされる拡張機能の一覧などに加え、調査の過程にて判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開した。企業や組織には必要に応じて活用することが望まれている。