オーストラリア・サイバーセキュリティ・センター(ACSC)が、ClickFixというソーシャルエンジニアリング技術を悪用して強力なパスワード盗取マルウェアを配布する悪意のあるサイバーキャンペーンについて警告を発表しました。
5月7日に発表された警告の中で、オーストラリア信号局(ADC)のACSCは、Vidar Stealerキャンペーンが複数の業界にわたるインフラストラクチャおよび組織を標的にしていると警告しました。
Vidar Stealerはinfostealerの一種であり、主にMicrosoft Windowsユーザーを標的とし、被害者から機密情報を盗むように設計されています。標的となる情報には、ユーザー名、パスワード、クレジットカードデータ、暗号資産ウォレット、ブラウザ履歴、多要素認証(MFA)トークンなどが含まれます。このマルウェアは2018年から活動しています。
ACSCは、マルウェアを配布する広範なキャンペーンが、侵害されたWordPressサイトとClickFixテクニックを組み合わせていると警告しています。
ユーザーは侵害されたWordPressサイトにリダイレクトされ、その後マルウェアを配布するように設計されたサイトにリダイレクトされます。
これらのサイトはClickFixを利用しており、これはソーシャルエンジニアリング戦術で、ユーザーを騙して自分のマシンで悪意のあるコマンドを実行させたり有害なペイロードをダウンロードさせたりします。
このキャンペーンでは、ClickFixテクニックが偽のCAPTCHA検証プロンプトを使用して、ユーザーに悪意のあるコマンドやスクリプトを実行させるよう説得しています。ユーザーが直接コマンドを入力することになるため、従来のサイバーセキュリティ対策を簡単に回避できることが多いです。
展開されると、Vidar Stealerは初期実行ファイルの自己削除を含む防御回避テクニックを採用しており、マルウェアがメインメモリで動作し続けることを可能にし、検出と削除をより困難にしています。
Vidar Stealer攻撃を軽減する方法
- ダウンロード可能な実行ファイルとスクリプトを含む、許可されていない、または承認されていないアプリケーションの実行を制限する
- WordPress、プラグイン、テーマ、ブラウザ、およびスクリプティングエンジンが完全にパッチが適用され、最新に保たれていることを確認する
- ブラウザベースのJavaScriptおよび信頼できないWebコンテンツからのクリップボード書き込みアクセスをブロックまたは制限する
- オペレーティングシステムが最新のセキュリティアップデートで完全にパッチが適用されていることを確認する
- インターネットに公開されているエンドポイントおよびサーバーに対して、パッチをすぐに適用する
- フィッシング耐性のあるMFAを強制する
翻訳元: https://www.infosecurity-magazine.com/news/australian-cyber-security-centre/
