ピークの休日シーズンにホスピタリティ組織を標的にした新しい多段階マルウェア キャンペーンが観察されており、フェイクCAPTCHAプロンプトや模擬ブルースクリーン(BSOD)エラーなどのソーシャルエンジニアリング技術を使用して、ユーザーに悪意あるコードを手動で実行するよう騙しています。
Securonix脅威研究者により PHALT#BLYXとして追跡されている本作戦は、Booking.com予約キャンセルになりすましたフィッシングメールで開始されました。これらのメッセージは、緊急性を作り出すために1000ユーロを超える高額な客室料金を強調していました。被害者がクリックすると、攻撃チェーンを開始するBooking.comウェブサイトの説得力のあるクローンにリダイレクトされました。
Securonixは、このキャンペーンは初期のより回避的でない技術からの進化を表していると述べました。以前のバージョンはHTMLアプリケーション ファイルとmshta.exeに依存していました。最新の反復は、代わりに信頼できるMicrosoft ユーティリティであるMSBuild.exeを悪用して、悪意あるプロジェクト ファイルをコンパイルして実行します。この living-off-the-land(LOTL)アプローチにより、マルウェアは多くのエンドポイント セキュリティ制御をバイパスできます。
被害者はクリップボードからPowerShellコマンドを Windows実行ダイアログに貼り付けるオンスクリーン指示に従うよう促されます。そのコマンドはプロジェクト ファイルをダウンロードし、MSBuild.exeが実行します。
最終的なペイロードは、キーロギング、プロセス インジェクション、および二次マルウェアの展開を可能にする、ロシア語の地下フォーラムで一般的に販売されているリモート アクセス トロイの木馬であるDCRatの大幅に難読化されたバリアント です。
ソーシャルエンジニアリング攻撃の詳細を参照:サービスデスク ソーシャルエンジニアリング攻撃の解剖
帰属およびセキュリティ推奨事項
Securonix研究者は、アクティビティをロシア語話者の脅威アクターにリンクする複数の指標に気付きました。
これらにはマルウェアに埋め込まれたキリル文字デバッグ文字列と前述のDCRatの使用が含まれます。フィッシング ルアーはユーロでの請求が特徴で、ヨーロッパのホスピタリティ ビジネスへの焦点を示唆しています。
攻撃者は永続性と回避を確保するための措置も講じました。一般的なファイルタイプとディレクトリに対してWindows Defender除外が追加され、マルウェアはより一般的なレジストリ方法ではなくインターネット ショートカット ファイルを使用してスタートアップ永続性を確立しました。
この脅威と類似の脅威から防御するために、Securonixはユーザー教育と強化されたエンドポイント監視の組み合わせを推奨しました。
主要な防御対策は以下の通りです:
-
クリックフィックス戦術を認識し、ブラウザ ページによって促されたコマンドを決して貼り付けないようにスタッフを訓練する
-
緊急な予約関連のメールを注意深く扱い、公式チャネルを通じてリクエストを確認する
-
MSBuild.exeなどの信頼できるバイナリの異常な動作の使用を密接に監視する
研究者は、攻撃者がセキュリティ制御をバイパスするために合法的なシステム ツールとユーザー相互作用にますます依存しているため、組織は従来のフィッシング防御と一緒に動作検出とプロセスレベルの可視性を優先する必要があると付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/phaltblyx-clickfix-malware/
