ユーザー自らマルウェアをインストール、偽の警告メッセージに注意
マイナビニュース / 2024年6月19日 8時26分
Proofpointは6月17日(米国時間)、「From Clipboard to Compromise: A PowerShell Self-Pwn|Proofpoint US」において、独自のソーシャルエンジニアリング手法とPowerShellスクリプトを使用してマルウェアを配布する攻撃手法を特定したと伝えた。この戦術はTA571と呼ばれる脅威アクターやClearFakeを配布する脅威アクターに使用され、標的にさまざまなマルウェアを配布するという。
○マルウェアを配布する戦術の概要
Proofpointが確認したマルウェアの配布戦術では、偽の警告メッセージを表示して悪意のあるPowerShellスクリプトを実行させる共通点があるとのことだ。発見された戦術のうち主要な2例は次のとおり。
○偽のWebブラウザエラー
ClearFakeを配布する脅威アクターは、「偽のWebブラウザエラー」を使用するとされる。攻撃者は悪意のあるWebサイトからイーサーハイディング(EtherHiding)と呼ばれるブロックチェーン技術を使用して、悪意のあるスクリプトを被害者にロードさせる。このスクリプトには直接の攻撃機能はなく、追加の悪意のあるスクリプトをロードする。
2番目のスクリプトは環境を調査し、攻撃可能か判断する機能を持つ。攻撃可能と判断するとWebブラウザ上に偽の警告メッセージを表示する。メッセージには悪意のあるスクリプトをクリップボードにコピーするボタンと、PowerShellにスクリプトを貼り付けて実行する手順が記載されており、ユーザー自らマルウェアをインストールするように誘導する。
ユーザーがメッセージの指示に従い行動するとPowerShell上で悪意のあるスクリプトが実行され、最終的にマルウェアに感染する。Proofpointが確認した例では最初に情報窃取マルウェアの「Lumma Stealer」が展開され、Lumma Stealerを介して追加の4つのマルウェアが展開されたという。
○Microsoft Officeの偽のエラー
TA571が使用した戦術では「Microsoft Officeの偽のエラー」が使用された。この戦術では最初にHTMLファイルを添付したメールが配信される。ユーザーが添付されたHTMLファイルを開くと、Microsoft Wordによく似たWebページが表示される。
-
-
- 1
- 2
-
この記事に関連するニュース
-
人材紹介会社を装いマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年6月18日 11時31分
-
Pythonパッケージ「crytic-compilers」にマルウェア、暗号資産狙う
マイナビニュース / 2024年6月11日 10時47分
-
海賊版Microsoft Officeから複数のマルウェア、削除しても自動で復活
マイナビニュース / 2024年6月1日 9時32分
-
北朝鮮の新しいサイバー攻撃者「Moonstone Sleet」とは?Microsoftが特定
マイナビニュース / 2024年5月31日 9時27分
-
人気のアンチウイルスソフトを偽るマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年5月28日 7時31分
ランキング
-
1「ニンテンドーダイレクト」が最大同接数200万人を記録 日本記録を更新
ITmedia NEWS / 2024年6月19日 20時32分
-
2焼きそばをおかずに白飯を食べる ローソンストア100の「だけ弁当」新作は「焼そば」 「こういうので良いんだよ!」
ねとらぼ / 2024年6月18日 12時51分
-
3リコー「PENTAX 17」、想定を上回る注文で予約を一時停止
マイナビニュース / 2024年6月19日 18時30分
-
4「罰当たり」怒りの声殺到!御朱印帳も7万円で高額転売…… 神田明神が“お守り転売”に注意喚起と悲痛「悲しいです」
ねとらぼ / 2024年6月19日 21時50分
-
5そっちかい! 銚子電鉄、6年ぶりとなる新型を導入 初公開された「ヌレ4343」にツッコミ殺到
ねとらぼ / 2024年6月19日 19時30分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)