幅広い機密データを流出させるステルス性の高いインフォスティーラーマルウェアを特徴とする、新たな高度なフィッシング攻撃が脅威アナリストによって発見されました。
このマルウェアは、保存されたパスワードのような従来のデータ種別を狙うだけでなく、セッションCookie、クレジットカード情報、ビットコイン関連の拡張機能、閲覧履歴も対象に含めています。
収集されたデータはその後、ZIP化された添付ファイルとしてリモートのメールアカウントに送信され、インフォスティーラーの能力における大きな変化が浮き彫りになっています。
攻撃手法
Barracuda Networksが公開したアドバイザリによると、この攻撃は受信者に添付された発注書ファイルを開かせるよう誘導するフィッシングメールから始まります。
これらのメールは文法上の誤りが目立ち、偽のアドレスから送信されたように見えます。添付ファイルにはISOディスクイメージファイルが含まれており、CDやDVDなどの光学ディスク上のデータを正確に複製したものです。このイメージファイルの中にはHTA(HTML Application)ファイルが埋め込まれており、ブラウザのセキュリティ制限を受けずにデスクトップ上でアプリケーションを実行できるようにします。
HTAファイルを実行すると、一連の悪意あるペイロードが起動します。この流れは、リモートサーバーから難読化されたJavaScriptファイルをダウンロードして実行するところから始まり、その後、同じサーバーからZIPファイルを取得するPowerShellファイルがトリガーされます。
ZIPファイルにはPythonベースのインフォスティーラーマルウェアが含まれています。
このマルウェアは短時間だけ動作してデータを収集し、その後、検知を回避するために自分自身を含むすべてのファイルを削除します。
マルウェアの機能とデータ流出
このインフォスティーラーは、包括的なブラウザ情報とファイルを収集するよう設計されています。
Chrome、Edge、Yandex、BraveなどのブラウザからMasterKeyを抽出し、セッションCookie、保存されたパスワード、クレジットカード情報、ブラウザ履歴を取得します。さらに、MetaMaskやCoinbase Walletを含むビットコイン関連のブラウザ拡張機能からデータをコピーします。
このマルウェアはPDFファイルを標的にし、デスクトップ、ダウンロード、ドキュメント、および特定の%AppData%フォルダ内のディレクトリを含め、ディレクトリ全体をZIP化します。盗まれたデータはその後、maternamedical.topドメインの複数のアドレスにメール送信されます。これらのアドレスは、Cookie、PDFファイル、ブラウザ拡張機能といった情報の種類ごとに割り当てられています。
企業に対するサイバーセキュリティ脅威について詳しく読む:サプライチェーンは依然として企業にとって隠れた脅威
サイバーセキュリティへの影響
Barracudaによると、この攻撃はデータ流出の脅威における新たな領域を示しており、マルウェアの幅広いデータ収集能力は深刻なリスクをもたらします。
「ほとんどのフィッシング攻撃はデータ窃取と結び付けられますが、ここで見ているのは、高度なインフォスティーラーによって実行される大規模なデータ流出を目的とした攻撃です」と、Barracudaの脅威アナリスト担当マネージャーであるSaravanan Mohan氏は述べています。
「持ち去られ得る機密情報の量と範囲は膨大です。中には、ラテラルムーブメントや金融詐欺など、さらなる悪意ある活動に利用される可能性があるものもあります。サイバー犯罪者が重要情報を盗む高度な手法を開発し続ける中、企業が警戒を怠らず、サイバーセキュリティ対策に積極的に取り組むことが重要です。」
同社が推奨する主要な戦略には、堅牢なセキュリティプロトコルの実装、不審な活動の継続的な監視、潜在的な脅威に関する従業員教育が含まれます。
AIと機械学習を活用した多層的なメール保護ソリューションも、こうしたフィッシングの試みがユーザーの受信箱に届く前に検知してブロックするうえで有効です。
翻訳元: https://www.infosecurity-magazine.com/news/phishing-attack-uses-infostealer/
