Forcepoint X-Labsの研究者は、Phorpiexマルウェアを用いてGlobal Groupランサムウェアを配信するフィッシングキャンペーンを発見しました。この攻撃は、偽装したWindowsショートカットファイル(.lnk)と独自の「ミュート」モードを使用し、データをオフラインで暗号化して従来のセキュリティ検知を回避します。
大規模な新しいセキュリティ報告書が、コンピューターを乗っ取り個人ファイルをロックすることを狙った、世界規模の巨大なメール詐欺について一般に警鐘を鳴らしました。シニア・セキュリティ・リサーチャーのLydia McElligott氏が率いるForcepoint X-Labsの研究者は、2010年頃から活動している長年のハッカーネットワークとして知られるPhorpiexが、現在ではGlobal Groupランサムウェアと呼ばれる悪質なタイプのウイルスを拡散するために利用されていることを突き止めました。
見慣れた罠
2024年から2025年にかけて活動しているこのキャンペーンは、何の変哲もないメールから始まります。件名はたいてい「Your Document」で、好奇心を刺激したり不安にさせたりしてクリックさせる狙いがあります。中には添付ファイルまたはZipフォルダーがあり、しばしばDocument.doc.lnkという名前になっています。ここでハッカーは二重拡張子を使います。Windowsはファイル名の末尾部分を隠すことが多いからです。一般の人にはDocument.docに見えますが、詳しく調べると実際にはWindowsショートカットファイル(.lnk)であることが分かりました。
クリックすると、そのショートカットはLiving off the Land(LotL)と呼ばれる手法を使って、バックグラウンドでコマンドを実行するよう静かにコンピューターへ指示します。怪しいツールを持ち込む代わりに、PowerShellやコマンドプロンプトのような「健全な」プログラムを乗っ取り、悪事を働かせます。これらのコマンドが本体のウイルスをダウンロードし、windrv.exeのような名前でシステムフォルダー内に潜み、正規のWindowsコンポーネントに見せかけます。
静かに動作するランサムウェア
Hackread.comに共有されたこの調査では、最終ペイロードがGlobal Groupであり、古いMamonaランサムウェアの後継であると特定しています。この亜種を厄介にしているのが「ミュート」モードです。多くのウイルスが指示を得るためにインターネットへ「帰還(call home)」するのとは異なり、Global Groupはすべてをローカルで実行します。
「このランサムウェアは外部の暗号化キーを取得せず、代わりにホストマシン上でキーを生成します」と研究者は、本日公開されたブログ投稿で述べています。
サーバー接続を必要としないため、オフラインのコンピューター上でもファイルをロックできます。さらに調査したところ、ChaCha20-Poly1305と呼ばれる強力なロック方式を使用しており、犯罪者のデジタルキーなしにファイルを復元するのはほぼ不可能です。
証拠の消去
このウイルスは「クリーン」な犯罪者です。捜査を妨げるため、127.0.0.7へのpingコマンドを3秒タイマーとして使用します。完了すると、自身のファイルをハードドライブから削除し、残る証拠を減らします。
研究者は、このウイルスがバックアップまで探し回ることも突き止めました。データ復元に使われる「セーフティネット」ファイルであるボリュームシャドウコピーを、ひそかに削除します。処理が終わると、ドキュメントには.Reco拡張子が付与され、壁紙は身代金要求メモに置き換えられます。
このキャンペーンは、ハッカーがユーザーを罠にかけるのに必ずしも複雑な技術を必要としないことを示しています。時には、単純なショートカットと説得力のあるメールがあれば十分なのです。鍵となるのは常識的な判断です。心当たりのないメールを開かない、含まれるリンクをクリックしない、添付ファイルをダウンロードして実行しないでください。
翻訳元: https://hackread.com/hackers-global-group-ransomware-offline-phishing-emails/
