人材紹介会社を装いマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年6月18日 11時31分
Elasticsearchはこのほど、「Dipping into Danger: The WARMCOOKIE backdoor — Elastic Security Labs」において、新しいWindows向けバックドア「WARMCOOKIE」を発見したと報じた。このマルウェアは現在進行中のフィッシングキャンペーンを通じて配布されているとして、注意を呼びかけている。
○侵害経路
Elasticsearchにより特定された今回のキャンペーンでは、人材紹介会社を装った偽のフィッシングメールが使用されるという。メールには標的個人の名前や雇用主の名前が記載され、説得力の高い内容になっている。本文には「求人情報を表示する」と書かれたリンクがあり、クリックすると偽の求人情報ページが表示される。
偽の求人情報ページにはロボットを排除するためのCAPTCHAが設置されている。これには、セキュリティ企業の自動検出ロボットを排除しつつ、被害者に正規サイトの印象を与える目的があるとみられる。被害者がCAPTCHAを入力して先に進むと悪意のある難読化されたJavaScriptがダウンロードされる。
このJavaScriptを実行すると悪意のあるPowerShellスクリプトが実行され、バックグラウンドインテリジェント転送サービス(BITS: Background Intelligent Transfer Service)を使用してバックドア「WARMCOOKIE」がダウンロード、実行される。
○バックドア「WARMCOOKIE」の実体
Elasticsearchの分析によると、WARMCOOKIEには次の機能があるという。
タスクスケジューラーを使用した永続性の確保とシステム権限の取得
文字列の暗号化による分析妨害
アンチデバッグ機能
システム情報およびユーザー情報の窃取
スクリーンショットの窃取
インストールされたアプリケーション一覧の窃取
任意のコマンドの実行
ファイルの読み書き
○対策
このキャンペーンでは攻撃にフィッシングメールを用いる。そのため、メールの内容に不審な点がないか、リンクやWebブラウザに表示されるURLが人材紹介会社の正規のドメインかを確認することが推奨される。
ElasticsearchはWARMCOOKIEを検出するYARAルールおよびセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を公開しており、必要に応じて活用することが望まれている。
(後藤大地)
外部リンク
この記事に関連するニュース
-
ユーザー自らマルウェアをインストール、偽の警告メッセージに注意
マイナビニュース / 2024年6月19日 8時26分
-
Androidユーザー狙う偽アプリに注意、3つの攻撃が進行中
マイナビニュース / 2024年6月15日 14時32分
-
exeファイルをExcelファイルに見せかけてマルウェアを展開するサイバー攻撃に注意
マイナビニュース / 2024年5月31日 13時12分
-
北朝鮮の新しいサイバー攻撃者「Moonstone Sleet」とは?Microsoftが特定
マイナビニュース / 2024年5月31日 9時27分
-
人気のアンチウイルスソフトを偽るマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年5月28日 7時31分
ランキング
-
1Amazon、10回目の「プライムデー」を7月16日から2日間開催 100万点以上が“特別価格“に
ITmedia NEWS / 2024年6月25日 21時15分
-
2「昔のミスド良すぎる」「復活してほしい!」 30年以上前の“ミスドのドーナツ”に復活求める声相次ぐ
ねとらぼ / 2024年6月26日 12時30分
-
3「フォレストページ」閉鎖、データは削除 平成の「ケータイHP」サービス、22年の歴史に幕
ITmedia NEWS / 2024年6月26日 15時20分
-
4「GTO」出演後、消息をたった“幻の男”が登場 菊池風磨&小芝風花が再会し「変わってない!」と喜び
ねとらぼ / 2024年6月24日 20時8分
-
5いつでもどこでもSFCを美麗画面で!携帯型SFC互換機「IPS 16ビットポケットHD」発表―2024年9月下旬発売予定
Game*Spark / 2024年6月26日 11時36分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください