人材紹介会社を装いマルウェアを配布するサイバー攻撃に注意

画像提供：マイナビニュース

Elasticsearchはこのほど、「Dipping into Danger: The WARMCOOKIE backdoor — Elastic Security Labs」において、新しいWindows向けバックドア「WARMCOOKIE」を発見したと報じた。このマルウェアは現在進行中のフィッシングキャンペーンを通じて配布されているとして、注意を呼びかけている。

○侵害経路

Elasticsearchにより特定された今回のキャンペーンでは、人材紹介会社を装った偽のフィッシングメールが使用されるという。メールには標的個人の名前や雇用主の名前が記載され、説得力の高い内容になっている。本文には「求人情報を表示する」と書かれたリンクがあり、クリックすると偽の求人情報ページが表示される。

偽の求人情報ページにはロボットを排除するためのCAPTCHAが設置されている。これには、セキュリティ企業の自動検出ロボットを排除しつつ、被害者に正規サイトの印象を与える目的があるとみられる。被害者がCAPTCHAを入力して先に進むと悪意のある難読化されたJavaScriptがダウンロードされる。

このJavaScriptを実行すると悪意のあるPowerShellスクリプトが実行され、バックグラウンドインテリジェント転送サービス(BITS: Background Intelligent Transfer Service)を使用してバックドア「WARMCOOKIE」がダウンロード、実行される。

○バックドア「WARMCOOKIE」の実体

Elasticsearchの分析によると、WARMCOOKIEには次の機能があるという。

タスクスケジューラーを使用した永続性の確保とシステム権限の取得
文字列の暗号化による分析妨害
アンチデバッグ機能
システム情報およびユーザー情報の窃取
スクリーンショットの窃取
インストールされたアプリケーション一覧の窃取
任意のコマンドの実行
ファイルの読み書き

○対策

このキャンペーンでは攻撃にフィッシングメールを用いる。そのため、メールの内容に不審な点がないか、リンクやWebブラウザに表示されるURLが人材紹介会社の正規のドメインかを確認することが推奨される。

ElasticsearchはWARMCOOKIEを検出するYARAルールおよびセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
（後藤大地）