Microsoftのリサーチャーによると、WhatsAppメッセージを使ってマルウェアを展開する新たなフィッシングキャンペーンが確認されています。攻撃者は、悪意のあるVisual Basic Script(VBS)ファイルをユーザーにインストールさせようとしています。
Microsoftは次のように説明しています。「このキャンペーンは、ソーシャルエンジニアリングと正規ツールを悪用する手法を組み合わせています。名称を変更したWindowsユーティリティを使って通常のシステム動作に紛れ込み、AWS、Tencent Cloud、Backblaze B2といった信頼できるクラウドサービスからペイロードを取得し、悪意のあるMicrosoft Installer(MSI)パッケージをインストールしてシステムの制御を維持します。信頼できるプラットフォームと正規ツールを組み合わせることで、攻撃者は検知されにくくし、実行に成功する可能性を高めています。」
ユーザーがこのフィッシング攻撃にだまされると、悪意のあるVBSファイルは感染したシステム上に隠しフォルダを作成し、検知回避のために正規のWindowsユーティリティの名称を変更したファイルを作成します。
Microsoftは、これらの攻撃を防ぐため、組織に次のような対策を推奨しています。
エンドポイント制御の強化:信頼できないパスでのスクリプトホスト(wscript、cscript、mshta)の実行をブロックまたは制限し、不審なフラグ付きで実行される、名称変更済みまたは隠しWindowsユーティリティを監視する
クラウドトラフィック監視の強化:AWS、Tencent Cloud、Backblaze B2などのクラウドサービスへのトラフィックを検査・フィルタリングし、信頼できるプラットフォーム上にホストされた悪意のあるペイロードのダウンロードも検出できるようにする
永続化手法の検出:HKLM\Software\Microsoft\Win配下のレジストリ変更を継続的に監視し、ユーザーアカウント制御(UAC)設定への繰り返しの改ざんを侵害の兆候として検知する
既知のC2インフラへの直接アクセスを可能な範囲でブロックする。その際は、組織の脅威インテリジェンス情報に基づいて判断する
ソーシャルエンジニアリングに関するユーザー教育:不審なWhatsApp添付ファイルや予期しないメッセージを見分けられるよう従業員をトレーニングし、身近なプラットフォームであってもマルウェア配布に悪用される可能性があることを周知する
KnowBe4は、従業員一人ひとりが日々の業務において、より的確なセキュリティ判断を下せるよう支援します。現在、世界で7万社を超える組織がKnowBe4のHRM+プラットフォームを信頼し、セキュリティ文化の醸成とヒューマンリスクの低減を実現しています。
詳細については、Microsoftの記事をご参照ください。
原典:KnowBe4 Team著 2026年4月21日発信 https://blog.knowbe4.com/alert-whatsapp-phishing-campaign-delivers-malware