人材紹介会社を装いマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年6月18日 11時31分
Elasticsearchはこのほど、「Dipping into Danger: The WARMCOOKIE backdoor — Elastic Security Labs」において、新しいWindows向けバックドア「WARMCOOKIE」を発見したと報じた。このマルウェアは現在進行中のフィッシングキャンペーンを通じて配布されているとして、注意を呼びかけている。
○侵害経路
Elasticsearchにより特定された今回のキャンペーンでは、人材紹介会社を装った偽のフィッシングメールが使用されるという。メールには標的個人の名前や雇用主の名前が記載され、説得力の高い内容になっている。本文には「求人情報を表示する」と書かれたリンクがあり、クリックすると偽の求人情報ページが表示される。
偽の求人情報ページにはロボットを排除するためのCAPTCHAが設置されている。これには、セキュリティ企業の自動検出ロボットを排除しつつ、被害者に正規サイトの印象を与える目的があるとみられる。被害者がCAPTCHAを入力して先に進むと悪意のある難読化されたJavaScriptがダウンロードされる。
このJavaScriptを実行すると悪意のあるPowerShellスクリプトが実行され、バックグラウンドインテリジェント転送サービス(BITS: Background Intelligent Transfer Service)を使用してバックドア「WARMCOOKIE」がダウンロード、実行される。
○バックドア「WARMCOOKIE」の実体
Elasticsearchの分析によると、WARMCOOKIEには次の機能があるという。
タスクスケジューラーを使用した永続性の確保とシステム権限の取得
文字列の暗号化による分析妨害
アンチデバッグ機能
システム情報およびユーザー情報の窃取
スクリーンショットの窃取
インストールされたアプリケーション一覧の窃取
任意のコマンドの実行
ファイルの読み書き
○対策
このキャンペーンでは攻撃にフィッシングメールを用いる。そのため、メールの内容に不審な点がないか、リンクやWebブラウザに表示されるURLが人材紹介会社の正規のドメインかを確認することが推奨される。
ElasticsearchはWARMCOOKIEを検出するYARAルールおよびセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
Webブラウザ「Arc」に偽装してMacユーザーにマルウェア配布、注意を
マイナビニュース / 2024年7月1日 8時35分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
ユーザー自らマルウェアをインストール、偽の警告メッセージに注意
マイナビニュース / 2024年6月19日 8時26分
-
Androidユーザー狙う偽アプリに注意、3つの攻撃が進行中
マイナビニュース / 2024年6月15日 14時32分
-
Microsoft VSCode、悪意ある拡張機能を多数発見
マイナビニュース / 2024年6月12日 13時46分
ランキング
-
1老後の趣味で気軽に“塗り絵”を始めて1年後…… めきめき上達した70代女性の美麗な水彩画に「本当にすごい…」「感動です」
ねとらぼ / 2024年6月29日 22時0分
-
2シャオミ、ペンを発売 「書き心地は良いが、タブレットとペアリングはできません」と公式
ITmedia NEWS / 2024年7月3日 8時30分
-
3「ロンハー」有吉弘行のヤジに指摘の声「酷かった」「凄く悲しい言葉」 42歳タレントが涙浮かべる
ねとらぼ / 2024年7月2日 15時31分
-
4坂本龍馬はそんなこと言わない! 居酒屋で発見された“ウソすぎる名言”が話題「おもろすぎる」「せめて土佐弁で」
ねとらぼ / 2024年7月2日 20時30分
-
5NFTでバンクシーを分割販売、アート市場の民主化目指すUAEスタートアップ10101.art
Techable / 2024年7月3日 12時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください