今回の手口では「乗っ取られたメールアカウントを使い、慈善団体や小規模企業を装っていた」とされるが、昨年は米国政府機関自体が偽装されたケースも報告されている。SlashNextは「州や自治体、許認可当局と定期的にやり取りする企業」を狙う「懸念すべき手口」が見られたと警告しており、DocuSignを使ったフィッシングURLが98%も増えた事例も確認されている。
さらにMalwarebytesはFBIの警告に続く最新レポートで、「サイバー犯罪者はあらゆる人気のファイル変換サービスを用いて被害者を誘導している。最も多いのは.docから.pdfの変換で、複数の画像を1つの.pdfファイルに統合するサイトもある」と指摘している。しかも、これらのツールは実際に変換機能を果たすことが多いため、利用者は疑念を抱かないまま使い続けるというわけだ。誰しもオンラインで手早く通貨や単位を変換したり、開けないドキュメントを変換した経験があるだろう。
Malwarebytesによれば、危険を示す兆候としては、ファイル変換ツールやブラウザ拡張機能のダウンロードを促されたり、「最も巧妙なケースでは、変換後のファイル自体にマルウェアのコードが仕込まれ、開いた人のデバイスに情報窃取ツールがインストールされる」ケースが挙げられる。同社は今回のような攻撃に使われているサイトの例として、次のドメインを提示している。
・Imageconvertors[.]com(フィッシング)
・convertitoremp3[.]it(リスクウェア)
・convertisseurs-pdf[.]com(リスクウェア)
・convertscloud[.]com(フィッシング)
・convertix-api[.]xyz(トロイの木馬)
・convertallfiles[.]com(アドウェア)
・freejpgtopdfconverter[.]com(リスクウェア)
・primeconvertapp[.]com(リスクウェア)
・9convert[.]com(リスクウェア)
・Convertpro[.]org(リスクウェア)
さらにFBIは今月、詐欺師が連邦機関を名乗り「偽の連邦逮捕状を提示して罰金を要求する」例も確認していると警告している。
十分に注意が必要だ。
