技術サポート詐欺は、単純な勧誘電話やマルウェアベースの偽アラートという形態をとることが多かった。そうした偽のアラートの狙いは、PCユーザーの不安をかき立てて、自分のPCはMicrosoftのような企業による「クリーニング」が必要なのではないかと思い込ませることだ。最近では、PCの画面をロックする手法も登場している。
Malwarebytesの研究者によると、ユーザーの不安をかき立てて偽のサービスに料金を支払わせようと試みる、新たな技術サポート詐欺の手法が確認されたという。この手法は、ランサムウェアの手口を参考にしている。
この新たな手法が発見されたのは、「Vindows Locker」ランサムウェアを追跡していたときだ。Vindows Lockerはユーザーのファイルを暗号化する本物のランサムウェアのように見えるが、脅迫文は身代金の349ドルをビットコインではなく、Microsoftの技術者とされる人物への支払いを要求する。
脅迫文に掲載された番号に電話すると、インドの技術サポート詐欺グループにつながる。このグループは、身代金と引き替えにユーザーのファイルの暗号化を解除すると約束するが、身代金を払おうが払うまいが、彼らによってそれらのファイルが復号化されることはない。
提供:Malwarebytes
Vindows Lockerに関して、取り立てて興味深いことはほとんどない。同マルウェアはC#で記述されており、少しだけ難読化されている。ファイルはAESで暗号化され、Vindows Lockerは各ファイルに「.vindows」拡張子を追加する。
しかし、この悪意あるコードには、珍しい要素が1つ含まれている。具体的には、「Pastebin」のAPIを悪用して、同ランサムウェアと攻撃者のC&Cセンターの通信を確立する。
このマルウェアは高度なものではなく、開発者にも高度な技術はなさそうだ。暗号化技術を応用してファイルをロックする方法には誤りがある。Malwarebytesのチームは被害者を救済する復号化ツールの作成に成功した。
毎度のことだが、ランサムウェアに感染しても身代金は払ってはならない。身代金を払ったからといってコンテンツを取り戻せる保証はなく、この手の攻撃の流行を助長するだけだ。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
