2つのフィッシングキャンペーンが、それぞれ異なる隠密な感染技術を使用し、Microsoft Windowsを実行しているデバイスにデータ盗聴マルウェアを配信することを目的とした攻撃で、組織を狙っています。
キャンペーンの目的は、2016年以来マルウェア・アズ・ア・サービス(MaaS)スキームの一部として利用可能になっている悪名高いフォーム情報盗聴マルウェアであるFormbookをインストールすることです。
この情報盗聴マルウェアは、ログイン認証情報、ブラウザデータ、スクリーンショットを含む機密情報を収集するように設計されています。また、検出を回避するための高度な回避技術も備えています。
初期リリースから10年が経ち、Formbook は依然として様々な業界の組織に対する活発なサイバー脅威であり、衰える兆しはありません。
WatchGuardのサイバーセキュリティ脅威研究者が、少なくとも2つの新しいFormbookキャンペーンについて詳述しています。
4月20日に公開されたブログ記事で詳述されたように、Formbookキャンペーンはギリシャ、スペイン、スロベニア、ボスニア、クロアチア、および南米の多くの国の企業を狙ったものが発見されています。フィッシング餌は一般的なビジネスメールの形式に偽装しているようです。
「これらのキャンペーンを特に注目すべきものにしているのは、マルウェア自体だけではなく、検出を回避し、正当なソフトウェアと信頼されたシステムプロセスを悪用する手段の多様性です。」とWatchguardは述べています。
DLLサイドローディングと難読化されたJavaScript
両方のFormbookキャンペーンはフィッシングメールで始まりますが、マルウェアペイロードを隠蔽して配信するために異なる方法を使用しています。一方はダイナミックリンクライブラリ(DLL)サイドローディングを使用し、もう一方は難読化されたJavaScriptを使用しています。
最初のキャンペーンは、3つのDLLと1つのWindowsの実行可能ファイル(EXE)を含むRARファイルを使用するフィッシングメールで始まります。
DLLサイドローディングを使用することにより、これは攻撃者が悪意のあるコードを実行するために、正当なDLLの代わりに有害なDLLをロードするようにプログラムを騙す技術であり、攻撃者はシステムがそれを悪意のあるものまたは異常なものとして特定するのを回避しながら、悪意のあるペイロードを実行できます。
一方、2番目のキャンペーンはFormbookマルウェアを配信するために異なる戦術を利用しています。初期段階は再び フィッシングメール ですが、今回は悪意のあるペイロードはJavaScriptおよびPDFファイル内に隠されており、難読化されたコードを使用して検出から隠れるのに役立ちます。
実行されると、JavaScriptは2つの画像ファイルをドロップし、次にPowerShellコマンドをドロップします。このコマンドは長い文字列内に難読化され、最終的にはWindowsの実行可能ファイルを実行するために使用され、カスタムマルウェアローダーをデプロイします。
以前にこのローダーによって配布されていると特定されたマルウェアの形式には、Remcos、XWorm、AsyncRAT、およびSmokeLoaderが含まれます。この場合、最初のフィッシングキャンペーンによって配信されるのと同じFormbookマルウェアを配布するために使用されています。
「セキュリティチームは、疑わしいアーカイブベースのメール添付ファイル、異常なDLLローディング動作、ユーザーが開いた添付ファイルに関連するPowerShellの実行、およびメモリ内の手動DLLマッピングまたは直接syscall活動の兆候を監視する必要があります。」とWatchGuardは助言しています。
「攻撃チェーン全体でこれらの動作を相互参照することにより、組織は機密データが侵害される前にFormBook感染を検出および停止する能力を向上させることができます。」と同社は付け加えました。
翻訳元: https://www.infosecurity-magazine.com/news/formbook-malware-multiple/
