EncryptHub、偽AIプラットフォームでWeb3開発者を標的にマルウェア攻撃

• EncryptHubが偽のAIプラットフォーム「Norlax AI」を使用してWeb3開発者を標的
• 求人情報やポートフォリオレビューを装い、Fickle Stealerマルウェアを配布
• 暗号通貨ウォレットや開発環境の認証情報を狙った新たな攻撃手法

SEOの常識を覆す
AIライティングエージェント

プロフェッショナルの業務フローを完全再現するAIの活用で、飛躍的な品質向上とコストダウンの両立。「magicss」でAI時代のSEO＆AIOを実現してみませんか？

今なら 1記事無料で生成可能（カード登録不要）

最短3分で無料体験する

偽AIプラットフォームを使った巧妙な社会工学攻撃

サイバーセキュリティ業界で「LARVA-208」や「Water Gamayun」としても知られるEncryptHub脅威グループが、Web3開発者を標的とした新たな攻撃キャンペーンを展開しています[1]。攻撃者は正規のAIツール「Teampilot」を模倣した偽の求人ポータルサイトを作成し、ポートフォリオレビューや雇用機会を餌として被害者を誘い込んでいます。

攻撃の手順は非常に計画的で、まず攻撃者がGoogle Meetを通じて被害者と接触し、信頼関係を構築した後、悪意のある「Norlax AI」プラットフォームへと誘導します[1]。このプラットフォームは一見すると正規のAI開発ツールのように見えるため、技術者でも騙されやすい巧妙な作りとなっています。

被害者がプラットフォームにアクセスすると、「Realtek HD Audio Driver」という名目で悪意のあるソフトウェアパッケージのダウンロードを促されます。このパッケージは実際にはPowerShellコマンドを実行し、Fickle Stealerマルウェアを展開する仕組みになっています[1]。

Web3開発者が狙われる理由と攻撃の影響

EncryptHubがWeb3開発者を特に標的とする理由は明確です。これらの開発者は暗号通貨ウォレットやスマートコントラクトへのアクセス権限を持っており、攻撃者にとって非常に価値の高い標的となっています[1]。盗まれた認証情報は「SilentPrism」という名前のサーバーに送信され、そこで収集・整理されます。

この攻撃キャンペーンは、EncryptHubグループの戦術的な転換点を示しています。従来のランサムウェア攻撃から、より焦点を絞った認証情報とデータの収集に移行しており、収益化戦略も変化していることが伺えます[1]。盗まれたデータは闇市場で転売される可能性が高く、被害の影響は長期間にわたって続く恐れがあります。

特に懸念されるのは、Web3開発者が管理する資産の規模と重要性です。個人の暗号通貨ウォレットだけでなく、開発中のプロジェクトや顧客の資産にもアクセスできる可能性があるため、一人の開発者が被害に遭うことで、連鎖的に大きな損失が発生する可能性があります。

対策と今後の展望

この攻撃に対する効果的な対策として、まず開発者は未知のプラットフォームやツールを使用する前に、十分な検証を行うことが重要です。特に、外部からの連絡で紹介されたツールについては、公式サイトや信頼できる情報源での確認を怠らないようにする必要があります。

組織レベルでは、Web3開発者向けの専門的なセキュリティトレーニングの実施や、新しいツールの導入に関するガイドラインの策定が求められます。また、開発環境と本番環境の分離、多要素認証の徹底、定期的なセキュリティ監査の実施なども重要な対策となります。

今後、このような攻撃手法はさらに巧妙化することが予想されます。AI技術の進歩により、偽のプラットフォームやコミュニケーションの質が向上し、人間による判別がより困難になる可能性があります。業界全体として、脅威情報の共有や協力体制の強化が不可欠となるでしょう。

参考文献

• [1] EncryptHub Targets Web3 Developers Using Fake AI Platforms to Deploy Stealer Malware