最近のサイバーセキュリティの動向として、トロイの木馬化されたFileZillaのダウンロードがマルチステージローダーを介してリモートアクセストロイの木馬(RAT)を拡散するために使用されています。
公式ダウンロードページを模倣した偽のウェブサイトを利用して、攻撃者は被害者を成功させて悪意のあるソフトウェアをダウンロードさせています。この洗練されたキャンペーンは、複雑なローディングプロセスを通じてWindowsシステムに感染します。
このオペレーションは高度に組織化されており、特定の被害者グループを厳密にターゲットにしており、最新のセキュリティ検出を回避するために高度な回避技術に大きく依存しています。
セキュリティ研究者は、この事件はユーザーをシステムの侵害へと操作するソーシャルエンジニアリング攻撃の常在する危険性を強調していると指摘しています。
攻撃はソーシャルエンジニアリングで始まり、ユーザーを詐欺的なソースから感染ファイルを手動でダウンロードするよう促します。悪意のあるサンプルは現在、その運用範囲を最大化するために2つの異なる形式で配布されています。
最初のシナリオでは、被害者は「version.dll」という名前の悪意のあるシステムファイルと並んで、合法的でポータブルなFileZillaのバージョンを含む圧縮アーカイブをダウンロードします。
被害者がアーカイブを抽出してアプリケーションを実行すると、Windowsオペレーティングシステムは意図せずに合法的なシステムファイルではなく悪意のあるコンポーネントを読み込みます。
Windows検索順序のこの悪用は、DLLサイドローディングとして知られており、隠された感染プロセスをシームレスにトリガーします。
悪意のあるキャンペーンの継続的な成功を確保するために、脅威アクターは高度な回避メカニズムを実装しています。
マルウェアは感染したシステムを仮想マシン環境とセキュリティ分析ツールのために積極的にスキャンします。具体的には、実行を継続する前にさまざまなVMwareプロセスと関連するシステムドライバをチェックします。
ソフトウェアが分析環境を検出した場合、セキュリティ研究者がその動作を安全に研究するのを防ぐために、すぐに操作を停止します。
さらに、マルウェアはDNSオーバーHTTPSを安全に使用して、コマンドアンドコントロールネットワーク通信を偽装します。
分析中に特定された主要な組織的指標には、次の要素が含まれます。
これらの洗練された脅威を軽減するために、組織は厳密なアプリケーション制御ポリシーを実装し、予期しないDLLローディングイベントについてネットワーク環境を継続的に監視する必要があります。
セキュリティプロフェッショナルは、すべてのダウンロードされたソフトウェアの真正性を検証し、検証済みのalyac公式ベンダーウェブサイトからのみアプリケーションを取得することを強くお勧めします。
さらに、高度なエンドポイント検出・応答ソリューションを展開することで、セキュリティチームが最終的な悪意のあるペイロードがホストシステムで完全に実行される前に、メモリベースの脅威を特定、分離、ブロックするのに大幅に役立つことができます。
翻訳元: https://cyberpress.org/fake-filezilla-drops-rats/