- 攻撃者は従業員が知らぬ間にマルウェアを自分たちで起動させることに依存している
- 偽のIT支援通話は、通常のトラブルシューティングを完全なネットワーク侵害に変える
- ブラウザのクラッシュは、綿密に計画されたソーシャルエンジニアリング攻撃の最初の手段となる
サイバー犯罪活動は直接的なソフトウェア悪用から企業環境内のユーザー行動操作へと移行し続けていると、専門家は警告している。
Huntressによる新しい調査は、攻撃者がユーザーのブラウザを意図的にクラッシュさせ、「修復」を促す警告的なセキュリティメッセージを表示するキャンペーンについて説明している。
この手法は緊迫感を作り出しながら、攻撃者が従業員と直接通信を開始することを可能にする。
攻撃者は従業員の混乱に乗じる
観察された多くの事例では、被害者は内部技術スタッフを名乗る個人からの電話を受け、その人物が問題解決を担当していると主張し、攻撃者に信頼性を与え、従業員に通常のように見える指示に従うよう圧力をかけている。
すべての連鎖はスパムメッセージでユーザーのメールボックスが溢れることから始まる。その直後、「IT支援」を代表していると主張する誰かから電話がかかってき、スパムまたはブラウザの不具合が影響を受けたコンピュータの即座なメンテナンスを必要としていると言う。
被害者が侵害をトリガーするアクションを自分たち自身で実行するよう説得されるため、この詐欺は機能している。
研究者は、自動化されたマルウェア配送ではなく、攻撃者が手動のユーザーインタラクションに依存していることを説明した。被害者はリモートアクセスセッションの承認やAnyDeskなどのリモート管理ツールのインストールなどの手順を通じて指導されている。
他の場合では、ユーザーはシステムプロンプトにコマンドをコピー&ペーストするか、診断修正に偽装されたスクリプトを実行するよう指示される。
攻撃者はリモートセッション中にブラウザを開き、クラウドインフラ上でホストされた詐欺的なマイクロソフトテーマのインターフェースに被害者を誘導する。
被害者は偽の「Outlook スパム対策コントロールパネル」にログインし、「スパム対策パッチ」として説明されているものをダウンロードするよう指示されたが、それは実際には攻撃の次の段階を開始するように設計された複数のコンポーネントを含む偽装アーカイブファイルである。
いわゆる修復ファイルが実行されると、悪意のあるチェーンはステージペイロードを使用してローカルで自身を再構築し、ランタイムライブラリと実行可能ユーティリティを含む正当なソフトウェアコンポーネントに見えるファイルをアンパックする。
ADNotificationManager.exeという名前の1つのバイナリがインストール後の侵害の次のフェーズをトリガーする。
この段階では、攻撃者は正当なアプリケーションが通常通り動作し続ける間に悪意のあるコードを実行するために、DLLサイドローディングとして知られている手法に大きく依存している。
悪意のある動的ライブラリは正当なファイルの隣に配置され、マルウェアはシステム内で明らかなアラームをすぐにトリガーすることなく実行できるようにした。
ペイロードは最終的にオープンソースコマンドアンドコントロールフレームワークHavoc C2から派生した変更されたエージェントを配備した。
そして「かつて300ドルのギフトカード購入で終わったことが、今ではあなたの環境に埋め込まれた修正されたHavoc C2フレームワークで終わる」。
この活動は迅速で、1つの事例では、侵入者は最初に侵害されたコンピュータから約11時間以内に9つの追加エンドポイントに拡大した。
このような急速な活動は脆弱性を通じた自動化されたマルウェア拡散ではなく、直接的なオペレーター制御を示している。
攻撃者はリモート管理ツールとスクリプト化されたペイロードを使用して永続性を保ちながら、接続されたシステム間を移動した。
研究者は、このキャンペーンが攻撃者がファイアウォール防御を回避するために技術的な欠陥ではなく、ソーシャルインタラクションにますます依存していることをどのように繰り返しているかを警告している。
