ロシアのサイバー犯罪者とみられる者たちが、偽の「ブルースクリーン・オブ・デス」ページを使って、欧州のホテルやホスピタリティ企業をマルウェアで狙っている。
Securonixの研究者らは、PHALT#BLYXと呼ぶ継続中のマルウェア・キャンペーンを追跡しているとし、これは通常、ホスピタリティ向け検索エンジンを題材にした誘い文句から始まるという。
この手口は、人気の予約サイトになりすました偽の予約キャンセルから始まり、最終的に被害者にエラーメッセージと「ブルースクリーン・オブ・デス」ページを表示させる。
そのページから抜け出すために、被害者は一連の操作を行うよう求められ、最終的にDCRatと呼ばれるマルウェアの亜種をダウンロードすることになる。DCRatは、脅威アクターが被害者のキーストロークを追跡したり、感染した端末上で他の操作を行ったりできるようにする。
Securonixは、このキャンペーンは「ClickFix」手法の別バージョンであり、ハッカーが偽のエラーメッセージやプロンプトを表示して、対象ユーザーにコピー、貼り付け、コマンドの実行によって問題を修正するよう指示し、最終的にマルウェアのダウンロードに至らせることで、人間の問題解決傾向を悪用しようとするものだと述べた。
Securonixのシニア脅威研究者であるShikha Sangwan氏は、ネイティブのロシア語デバッグ文字列やコマンドを含むMS Buildプロジェクトファイルの使用など、ロシアとの関連を示唆する指標が複数あると述べた。
さらに、技術的テレメトリにより、同グループが使用したインフラやその他のツールがロシアにジオロケートされていることが示された。DCRatはロシアのアンダーグラウンド・フォーラムで広く販売されている。
「予約キャンセル」
Securonixは、秋の期間を通じてハッカーがホスピタリティ分野を標的にしていたとし、これは同業界にとって一年で最も忙しい時期の一つだからだと述べた。
フィッシングメールの大半は件名が「Reservation Cancellation(予約キャンセル)」で、ユーロ建ての客室料金の詳細が記載されており、欧州のホテル、ホステル、インに狙いを定めていたことを示している。研究者らによれば、メールでは緊急性とパニックを生み出すために、€1,000($1,170)を超える請求が目立つ形で示されている。
メールには「See Details(詳細を見る)」ボタンがあり、クリックすると偽のホテル予約ページに移動し、「読み込みに時間がかかりすぎています」という偽のブラウザエラーメッセージが表示される。このエラーメッセージには目立つ「Refresh page(ページを更新)」ボタンが含まれており、クリックすると被害者は偽の「ブルースクリーン・オブ・デス」に誘導される。
偽のキャンセル通知の例。画像:Securonix
被害者が偽の「ブルースクリーン・オブ・デス」のアニメーションを見ると、Windowsの「ファイル名を指定して実行」ダイアログに悪意のあるスクリプトを貼り付けて問題を修正するよう誘導される。
貼り付けられたスクリプトは一連の事象を引き起こし、マルウェアがWindows Defenderを無効化できるようにする。おとりとして、マルウェアがバックグラウンドで動作している間に本物の予約ページが開かれる。
その後マルウェアは、防御の無効化、他のツールの密かなダウンロード、ハッカーが端末へのアクセスを維持できるようにすることなど、一連の動作を行う。マルウェアはパスワード、クリップボードのデータ、その他の情報を窃取する。
Securonixは、このキャンペーンが「コモディティ・マルウェア配布における洗練された進化を示している」と警告した。
研究者らは、「心理的操作に加え、`MSBuild.exe`のような信頼されたシステムバイナリの悪用により、従来の防御が反応する前に感染が被害者のシステム深部に足場を築くことが可能になる」と述べた。
「感染チェーンの技術的複雑さは、検知を回避し、長期的な永続性を維持しようとする明確な意図を示している。」
翻訳元: https://therecord.media/russian-hackers-europe-hospitality-blue-screen
