脅しに使う個人情報を収集するマルウェア「Delilah」--ウェブカムにアクセスも

　詐欺行為の分析を担当するGartnerのAvivah Litan氏によると、「Delilah」と呼ばれるマルウェアが、世界初の「Insider Threat Trojan」という称号を獲得したという。Delilahを利用することで、攻撃者は被害者の地位や名声を危うくするデリケートな映像を入手して、脅しの材料として悪用し、雇用主に損害を与える行為を被害者に行わせることが可能になるからだ。

　Delilahに関する詳細な情報は、イスラエルの脅威インテリジェンスセキュリティ企業Diskin Advanced Technologies（DAT）によって、Litan氏に伝えられた。DATのレポートによると、同マルウェアは人気の高い複数のアダルトサイトやゲーミングサイトを経由して拡散されているという。Litan氏のレポートを読む限り、攻撃者が同マルウェアをインストールさせるために、ソーシャルエンジニアリングを利用しているのか、それともソフトウェアの脆弱性を突いているのかは不明だ。

　「このボットには、ソーシャルエンジニアリングを利用してウェブカムにアクセスする仕組みが含まれており、被害者をこっそり撮影することが可能だ」（Litan氏）

　「ひとたびインストールが完了すれば、Delilahが被害者から大量の個人情報を収集するので、後でその被害者を巧みに操ったり、脅迫したりすることが可能になる。この個人情報には、被害者の家族や職場に関する情報も含まれる」（同氏）

　さらに、攻撃者は被害者との通信にVPNサービスやTORなどの通信を使用する。多くの自動化されたランサムウェアと異なり、Delilahボットでは、人間の攻撃者が大幅に関与し、内部脅威者として利用できる適切な候補者を見極める必要がある、とLitan氏は指摘する。

　Litan氏は6月に公開したレポートの中で、内部脅威に関する懸念を報告するGartnerの顧客が増えていること、そして、いわゆるダークウェブで活動する犯罪者が内部脅威者として利用可能な従業員を積極的に探していることを警告した。

　しかし、Delilahの場合、犯罪者はランサムウェアの手法を用いて、内部脅威者として利用できそうな従業員を探している。DATのレポートによると、同マルウェアは今でもバグが多く、ウェブカム機能が有効化されると、エラーメッセージが表示されるという。さらに、Delilahは非常に多くのスクリーンショットを撮影するため、モニタのフリーズも引き起こす。