セキュリティ研究者が、税務関連のメールを装ってWindowsユーザーに高度なメモリ常駐型マルウェアを配布する、精巧なフィッシングキャンペーンを発見しました。
この悪意ある攻撃は、ソーシャルエンジニアリングと政府機関へのなりすましを巧みに組み合わせ、被害者を自ら自分のシステムを危険にさらす行動へと誘導します。
Cyfirmaの脅威アナリストが最近この多段階攻撃フレームワークの詳細を報告し、従来のセキュリティ対策を回避できる能力を持つことを明らかにしました。
このキャンペーンは主に、インドの公式な所得税局を完璧に模倣した偽の税務通知メールから始まります。
攻撃者は緊迫感を煽るメッセージや罰金の脅しを巧みに利用し、ターゲットを素早く行動するよう誘導します。
セキュリティコミュニティによると、攻撃者が正規のサードパーティ製メール配信サービスや偽装したIDを使用しているため、これらのメールは一般的なメールセキュリティフィルターをすり抜けることに成功しています。
ユーザーが提供されたリンクをクリックすると、本物の政府税務ポータルとまったく見分けのつかない、巧妙に作られたフィッシングサイトへリダイレクトされます。
この偽ポータルには英語とヒンディー語の二言語テキストと公式ロゴが使用されており、被害者の信頼を即座に獲得できるよう設計されています。
被害者が偽の政府ポータルを訪問すると、緊急の税務コンプライアンス文書のように見えるファイルをダウンロードするよう指示されます。
この「文書」は実際には悪意あるZIPアーカイブであり、連携して動作するよう設計された3つの異なるファイルが含まれています。
Cyfirmaの研究者によると、このモジュール型のアプローチにより攻撃が個別のステージに分割されており、標準的なウイルス対策ソフトウェアによる脅威の検出が格段に困難になっています。
最初のファイルはヒンディー語で名付けられた実行ファイルで、初期ローダーとして機能してシステム環境を準備します。
ユーザーがこのファイルを実行すると、Windowsの正規機能を巧みに悪用し、通常であれば安全なシステムファイルを読み込むはずのところに、2番目のファイルである悪意あるダイナミックリンクライブラリ(DLL)を読み込ませます。
DLL検索順序ハイジャックと呼ばれるこの手法により、攻撃者は不正なコードを実行できます。さらに発見を防ぐため、マルウェアは多重の難読化と複雑な暗号化を使用しています。
脅威インテリジェンスアナリストによると、この悪意あるコードはセキュリティスキャナーから真の目的を隠すために、RC4暗号をベースにカスタマイズされた暗号化手法を使用しています。
また、マルウェアは内部の実行パスを常に変化させており、自動化されたセキュリティツールによるシグネチャ検出を著しく困難にしています。
マルウェアがメモリ上で完全に起動すると、攻撃者のコマンド&コントロール(C2)サーバーとの持続的な接続を確立します。
Cyfirmaの専門家によれば、マルウェアは標準的なインターネットプロトコル上でWebSocketを介して通信しており、悪意あるトラフィックを通常のウェブ閲覧のトラフィックにシームレスに紛れ込ませることができます。
このネットワークトラフィックは企業のプロキシサーバーをも通過できるため、厳格な企業ネットワークの制限を回避することが可能です。
注意: IPアドレスとドメインは、誤って名前解決やハイパーリンクが発生しないよう意図的にデファング処理(例:[.])が施されています。MISP、VirusTotal、SIEMなどの管理された脅威インテリジェンスプラットフォーム上でのみ、元の形式に戻してください。
翻訳元: https://cyberpress.org/tax-phishing-drops-malware/
