Malwarebytesは2月21日(米国時間)、「Vibrator virus steals your personal information|Malwarebytes」において、充電式バイブレータからマルウェアを検出したと伝えた。このバイブレータはUSB接続で充電するデバイスだが、コンピュータから充電しようとするとマルウェアの感染を試みるという。

  • Vibrator virus steals your personal information|Malwarebytes

    Vibrator virus steals your personal information|Malwarebytes

情報窃取マルウェア「Lumma Stealer」の正体

Malwarebytesによると、この問題は、Malwarebytes Premiunの顧客が購入したデバイスを充電するためにコンピュータのUSBポートにデバイスを接続した際、感染をブロックしたとするセキュリティ通知が表示されたことで発覚したという。被害を免れたユーザーはRedditへの投稿で、「充電するために何も考えずコンピュータにデバイスを接続した。するとブラウザが開きWebページを表示することなくファイルをダウンロードし始めた」と報告している。

  • 被害を免れたユーザーのRedditへの投稿 - 提供:Malwarebytes

    被害を免れたユーザーのRedditへの投稿 引用:Malwarebytes

Malwarebytesはこの顧客から充電式バイブレータに埋め込まれたフラッシュドライブのデータ提供を受けて分析している。分析によると、フラッシュドライブには多数のXMLファイルとWindows用のインストーラーファイル(.MSI)が含まれていたという。XMLファイルはいわゆる「XML爆弾」として機能するように設計されたファイルで、それ自体に意味はないが被害者の注意をそらす目的で含まれていたものとみられている。

インストーラーファイルを実行すると「Outweep Dynes」というエントリを作成し、インストーラー「InstallerPlus_v3e.5m.exe」を展開する。InstallerPlus_v3e.5m.exeはリバースエンジニアリングを防止するために暗号化されていたが、Malwarebytesはハードコードされたパスワードから復号に成功している。そして、このインストーラーから情報窃取マルウェア「Lumma Stealer」を発見している。

感染経路と対策

ITに関係のないデバイスを悪用したマルウェアの感染事例としては、アイロンや電気ケトルを使った事案が有名だが、今回はUSB接続の充電デバイスを使った直接的な攻撃が確認された。Malwarebytesはその分析にも成功したが、なぜバイブレータにマルウェアがプリインストールされていたのかという疑問が残っている。

この疑問を解明するため、Malwarebytesはバイブレータの販売店に連絡を取って回答を得ているが、マルウェアが組み込まれた理由や経緯はわかっていない。ただ、販売店もマルウェアの存在を認識しており、追加の情報が得られた場合は情報を公開する予定としている。

Malwarebytesはこのような攻撃からコンピュータを保護するために、次のような対策を推奨している。

  • 充電のためにデバイスをコンピュータに接続しない。マルウェアに感染しないAC接続のUSB充電器を推奨する
  • どうしてもコンピュータから充電する必要がある場合は、USB通信を阻害する「USBデータブロッカー」や「Juice Jack Defender」を使用する
  • 信頼できないデバイスはコンピュータに接続しない