ユーザー自らマルウェアをインストール、偽の警告メッセージに注意

画像提供：マイナビニュース

Proofpointは6月17日(米国時間)、「From Clipboard to Compromise: A PowerShell Self-Pwn｜Proofpoint US」において、独自のソーシャルエンジニアリング手法とPowerShellスクリプトを使用してマルウェアを配布する攻撃手法を特定したと伝えた。この戦術はTA571と呼ばれる脅威アクターやClearFakeを配布する脅威アクターに使用され、標的にさまざまなマルウェアを配布するという。

○マルウェアを配布する戦術の概要

Proofpointが確認したマルウェアの配布戦術では、偽の警告メッセージを表示して悪意のあるPowerShellスクリプトを実行させる共通点があるとのことだ。発見された戦術のうち主要な2例は次のとおり。
○偽のWebブラウザエラー

ClearFakeを配布する脅威アクターは、「偽のWebブラウザエラー」を使用するとされる。攻撃者は悪意のあるWebサイトからイーサーハイディング(EtherHiding)と呼ばれるブロックチェーン技術を使用して、悪意のあるスクリプトを被害者にロードさせる。このスクリプトには直接の攻撃機能はなく、追加の悪意のあるスクリプトをロードする。

2番目のスクリプトは環境を調査し、攻撃可能か判断する機能を持つ。攻撃可能と判断するとWebブラウザ上に偽の警告メッセージを表示する。メッセージには悪意のあるスクリプトをクリップボードにコピーするボタンと、PowerShellにスクリプトを貼り付けて実行する手順が記載されており、ユーザー自らマルウェアをインストールするように誘導する。

ユーザーがメッセージの指示に従い行動するとPowerShell上で悪意のあるスクリプトが実行され、最終的にマルウェアに感染する。Proofpointが確認した例では最初に情報窃取マルウェアの「Lumma Stealer」が展開され、Lumma Stealerを介して追加の4つのマルウェアが展開されたという。

○Microsoft Officeの偽のエラー

TA571が使用した戦術では「Microsoft Officeの偽のエラー」が使用された。この戦術では最初にHTMLファイルを添付したメールが配信される。ユーザーが添付されたHTMLファイルを開くと、Microsoft Wordによく似たWebページが表示される。