TokyoBlackHatNews

malwarebytes.com 4分で読了

「荷物が到着しました」メールが遠隔アクセスソフトウェアを隠している

DHLになりすましたメールの添付ファイルには、事前に設定されたSimpleHelpリモートアクセスツールへのリンクが含まれています。これはネットワークを探索し、データを盗み、追加のマルウェアを配布するための理想的な出発点です。

ドイツの産業用スペアパーツおよび機器サプライヤーは、DHLからのものと思われるメールを受け取りました。そのメールは、荷物が到着したと主張していました。

Image

彼らのビジネスの性質を考えると、このようなメールをいつも受け取っていると思われます。しかし、いくつかの詳細が目立ちました:

  • 送信者のメールアドレスはDHLのものではありませんでした。
  • 受信者のアドレスは会社の一般的なinfo@でした。
  • メール内の画像はecp.yusercontent.comでホストされていました。
  • そして最も重要なことに、添付ファイルがありました。

リモートコンテンツは、Yahoo Mailで画像やその他のコンテンツを配信するために一般的に使用される正当なYahooウェブページでホストされていますが、これはDHLが通常使用するものではありません。

AWB-Doc0921.pdfという名前のPDFファイルである添付ファイルは、ぼやけた画像とMicrosoftブランドのボタンが含まれており、被害者に「続行」をクリックして安全なファイルにアクセスするよう促します。

Image

実際には、ボタンをクリックするとlonghungphatlogistics[.]vnドメインからAWB-Doc0921.scrというファイルがダウンロードされます。このドメインはベトナムの物流会社に属するもので、マルウェアをホストするために侵害された可能性があります。

Image

scrファイルはWindowsファイルで、スクリーンセーバーを起動するために使用される実行可能ファイル(.exe)です。Windowsはそれらを信頼するため、セキュリティレイヤーの一部をバイパスできるため、悪意のあるコードを隠すために使用されることがよくあります。

この場合、ファイルはSimpleHelpによって署名されたリモートアクセスツールの修正されたインストーラです。

Image

SimpleHelpはリモートサポートおよびリモート監視・管理(RMM)プラットフォームです。リモートデスクトップ制御、ファイル転送、診断、および無人アクセスを可能にします。悪意のある人物の手に渡ると、実質的にサポートスタイルのバックドアになります。攻撃者はそれを偵察、認証情報の盗取、横方向への移動、防衛回避、ランサムウェアを含むさらなるマルウェアのステージングに使用できます。私たちはSimpleHelpがこの方法で悪用されるのを以前見てきました。

これは基本的にビーコニングモデルです。インストールされると、システムは攻撃者のサーバーに接続します。これはインバウンド接続よりもNATとファイアウォールを通じて許可される可能性が高いです。ユーザーがインストールを開始したため、攻撃者はシステムの即座の可視性を得ることができ、サービスが実行されている限りいつでも後で再接続できます。フィッシングの場合、それはおとりは被害者にファイルを1回実行させるだけで済むことを意味します。その後、攻撃者のコンソールは新しいマシンを管理可能な資産として表示できます。

非標的化攻撃と思われるものの場合、このキャンペーンは正当なコンポーネントを使用してターゲットをリモートアクセスツールの実行に騙すことによって、適切なレベルの洗練さを示しています。

安全を保つ方法

朗報:何を探すべきかを知ったら、これらの攻撃はスポット・ブロックするのがはるかに容易になります。悪い知らせ:それらは安価で、スケーラブルで、流通し続けるでしょう。

つまり、「PDF」がファイルをダウンロードするよう促す次回は、何がその下に隠れているかについて考えるために一時停止してください。

不要な添付ファイルを避けることの他に、安全を保つためのいくつかの方法があります:

  • 公式アプリを通じてのみアカウントにアクセスするか、公式ウェブサイトをブラウザに直接入力してください。
  • ファイル拡張子を慎重に確認してください。ファイルが正当なツールをインストールする場合でも、実行するのは安全でない可能性があります。
  • 重要なアカウントの多要素認証を有効にしてください。
  • 最新の、リアルタイムアンチマルウェアソリューションをWebプロテクションモジュール付きで使用してください。

プロのヒント:Malwarebytes Scam Guardはこのメールを詐欺として認識しました。

何かおかしいと感じますか?クリックする前に確認してください。  

Malwarebytes Scam Guardは、疑わしいリンク、テキスト、スクリーンショットを即座に分析するのに役立ちます。  

Malwarebytes Premium Securityですべてのデバイスに対応し、iOSおよびAndroid用Malwarebytesアプリで利用可能です。  

無料で試す → 

翻訳元: https://www.malwarebytes.com/blog/news/2026/04/your-shipment-has-arrived-email-hides-remote-access-software

ソース: malwarebytes.com
#SimpleHelp #バックドア #フィッシング #マルウェア #メール攻撃 #ランサムウェア #リモートアクセスツール #詐欺メール #認証情報窃取 #遠隔アクセス

関連記事

「iCloud ストレージがいっぱい」詐欺が戻ってきた。今度は支払い詳細を要求している

Browser Guard が Access Control でさらに便利に

偽造されたSlackダウンロードがマシンに隠されたデスクトップを与えている