そのWhatsAppメッセージを開かないでください、Microsoftが警告

クリックする内容に注意してください。悪意のある者たちはWhatsAppメッセージを悪用し、悪質なMicrosoft Installer（MSI）パッケージを配信する多段階攻撃を実行しており、犯罪者は被害者のマシンを制御し、すべてのデータにアクセスできるようにしています。

キャンペーンは2月下旬に始まったと言われており、攻撃チェーンはWhatsAppメッセージで始まり、悪質なVisual Basic Script（VBS）ファイルを配信します。詐欺のソーシャルエンジニアリング部分がどのように機能するのか正確にはわかりません。Redmondに追加の詳細を求めており、何か情報を受け取ったらこのストーリーを更新します。 

The RegisterはMeta傘下のWhatsAppにもコメントを求めましたが、返答がありませんでした。

しかし、攻撃者は何らかの方法で、メッセージの受信者に自分のシステムで悪質なファイルを実行させるようにだまします。おそらく、侵害されたWhatsAppセッションを使用して、メッセージが被害者の既存の連絡先の1つから来たように見せかけます。または、緊迫感を含むおとりで大量のユーザーに送信し、受信者が急いでファイルを開くよう促します。

実行されると、悪質なスクリプトはC:\ProgramDataに隠しフォルダを作成し、正当なWindowsユーティリティの名前を変更したバージョンをドロップします。例えば、curl.exeはnetapi.dllに、bitsadmin.exeはsc.exeに名前が変更されます。

正当なWindowsツールを悪意のある目的で使用することで、攻撃者は通常のネットワークアクティビティに紛れ込むことができます。防御者はこれを「ランディング・オフ・ザ・ランド」と呼びますが、悪意のある者たちはこれらのバイナリの名前を変更する際にミスを犯しました。 

「特に、これらの名前を変更したバイナリは、元のPE（ポータブル実行ファイル）メタデータを保持しており、OriginalFileNameフィールドも含まれており、これらはまだcurl.exeとbitsadmin.exeとして識別されます」とMicrosoftの研究者は火曜日のブログで書きました。「これは、Microsoft Defenderおよび他のセキュリティソリューションがこのメタデータの不一致を検出信号として利用でき、ファイル名が埋め込まれたOriginalFileNameと一致しないインスタンスにフラグを付けることができることを意味します。」

犯人たちは名前を変更したバイナリを使用して、AWS、Tencent Cloud、Backblaze B2などの信頼できるクラウドサービスから二次的なVBSペイロード（auxs.vbs、2009.vbs）をダウンロードします。繰り返しますが、これにより通常のエンタープライズアクティビティと悪質なダウンロードを区別することがより難しくなります。

次に、マルウェアはUser Account Control（UAC）設定を変更し、昇格された特権でcmd.exeを起動しようとします。これは、マルウェアがシステム再起動後も残存することを意味するか、プロセスが強制的に終了されるまで続きます。 

最後に、攻撃者は悪質なMSIインストーラーを配信し、MicrosoftはこれらにはSetup.msi、WinRAR.msi、LinkPoint.msi、AnyDesk.msiが含まれると述べています。繰り返しますが、悪者たちはカスタムマルウェアではなくAnyDesk等の実ツールを使用して、目立たないように隠します。 

ただし、最終的なペイロードのいずれも署名されていません。これは、防御者がマルウェアを扱っており、正当なエンタープライズソフトウェアではないことを示すもう1つの兆候であるべきです。

これらのインストーラーは攻撃者に被害者のシステムへのリモートアクセスを与えるので、データを盗んだり、侵害されたシステムにランサムウェアなどのマルウェアをさらに配信したり、感染したマシンをより大きなネットワークの一部として使用して他の攻撃を開始することができます。

Microsoftのブログはこのような侵害を回避するためにセキュリティ製品を使用するよう人々に指示する複数の推奨事項を含んでいますが、特に好みの1つのベンダー中立的なヒントはユーザーにソーシャルエンジニアリングキャンペーンを識別する方法を教育することに関わります。 

「従業員に疑わしいWhatsApp添付ファイルと予期しないメッセージを認識するよう訓練し、馴染みのあるプラットフォームでさえマルウェア配信に悪用される可能性があることを強化してください」とRedmondは助言しています。®