以下がご要望のHTMLテキスト部分の日本語訳です。HTMLタグや構造はそのままにしています。
サイバーセキュリティ研究者によって、個人化されたメールと偽のウェブサイトを使用して悪意のあるダウンロードを配布する世界的なフィッシングキャンペーンが確認されました。
FortiGuard Labsの新たなアドバイザリによると、この作戦ではUpCrypterと呼ばれるカスタムローダーを使用して、さまざまなリモートアクセスツール(RAT)をインストールし、攻撃者に侵害されたシステムへの長期的な制御を与えています。
攻撃の仕組み
このキャンペーンは、HTML添付ファイル付きのフィッシングメールから始まり、被害者を偽装ウェブサイトへリダイレクトします。これらのサイトは、受信者のメールアドレスを埋め込んだり、会社のロゴを取得したりすることで、各受信者向けにカスタマイズされ、正当性の錯覚を高めています。
キャンペーンのバリエーションには、以下のようなテーマがあります:
-
受信者が通話を逃したと主張するボイスメールを装ったメールで、HTML添付ファイルがブラウザをフィッシングサイトへ静かにリダイレクトします
-
中国語で書かれた発注書を偽装したメールで、HTML添付ファイルが悪意のあるURLを生成し、被害者を偽のページへ誘導します
リダイレクト後、ユーザーは難読化されたJavaScriptファイルを含むZIPアーカイブのダウンロードを促されます。このスクリプトはPowerShellコマンドを実行し、検出ツールを回避し、攻撃者が管理するサーバーから次のペイロードを取得します。
場合によっては、データがステガノグラフィーを用いて画像ファイル内に隠され、セキュリティスキャンを回避します。
フィッシングキャンペーンの詳細:752,000件のブラウザフィッシング攻撃が前年比140%増加
配信ハブとしてのUpCrypter
UpCrypterは、その開発者によってメンテナンスされ、YouTubeで紹介されているローダーであり、今回観測されたキャンペーンで中心的な役割を果たしています。実行前にフォレンジックツールや仮想マシン、サンドボックスの有無をチェックします。
解析が疑われる場合、マルウェアは調査を妨害するためにシステムの再起動を強制します。検証が完了すると、追加コンポーネントをダウンロードし、メモリ上で実行、レジストリキーを変更して永続性を確立します。
観測された最終ペイロードには、PureHVNC、DCRat、Babylon RATが含まれます。これらのツールにより、攻撃者はキーロギング、ファイル窃取、ターゲットマシンの完全なリモート制御などの行為が可能となります。
拡大する世界的な影響
FortiGuard Labsは、このキャンペーンが急速に拡大しており、検出数がわずか2週間で倍増したと指摘しています。最も影響を受けている業界は、製造、技術、医療、建設、小売/ホスピタリティです。
研究者らは、これは単なるメール認証情報を盗むための単純なフィッシング手法ではなく、企業環境内に高度なマルウェアをインストールする包括的な攻撃チェーンであると強調しています。
「ユーザーや組織はこの脅威を深刻に受け止め、強力なメールフィルターを利用し、スタッフがこの種の攻撃を認識し回避できるように十分な教育を行うべきです」とFortinetは結論付けています。
翻訳元: https://www.infosecurity-magazine.com/news/phishing-upcrypter-deploy-rat/