- 攻撃者は偽のFortinetダイアログとソーシャルエンジニアリングを使い、ユーザーにマルウェアを実行させる
- キャッシュ・スモグリングでマルウェアをブラウザキャッシュに隠し、ダウンロードやPowerShellの検出ツールを回避
- マルウェアは偽の画像ファイルから抽出され、FortiClientComplianceChecker.exeとして展開される
ハッカーは、ソーシャルエンジニアリング、キャッシュ・スモグリング、なりすまし、そして単なるハッタリを組み合わせて、一般的なセキュリティ保護を回避し、被害者のコンピュータにマルウェアを展開していると専門家は述べています。
セキュリティ研究者のExpelおよびP4nd3m1cb0yという別の独立研究者は、Fortinet VPNの「コンプライアンスチェッカー」からのポップアップダイアログを装ったウェブサイトを観察しました。
実際には、FortiOS内でFortiClientコンプライアンスプロファイルを設定する機能以外に、そのようなものは存在しないようです。いずれにせよ、そのダイアログは被害者に、ハードドライブにインストールされたファイルへのパスのように見えるものをコピーし、エクスプローラーに貼り付けるよう指示します。
ランサムウェア攻撃者による利用
そのパスには実際には100以上のスペースが詰め込まれており、本当の目的―PowerShellコマンドの実行―を隠しています。同時に、フィッシングサイトはJavaScriptを実行し、ブラウザに画像を取得してファイルシステムにキャッシュするよう指示します。このファイルは実際の画像ではなく、隠されたマルウェアです。
「この手法はキャッシュ・スモグリングとして知られており、マルウェアがさまざまな種類のセキュリティ製品を回避することを可能にします」と研究者は説明しています。
「ウェブページもPowerShellスクリプトも明示的にファイルをダウンロードしません。ブラウザに偽の『画像』をキャッシュさせるだけで、マルウェアはPowerShellコマンドがウェブリクエストを行う必要なく、ローカルシステムにZIPファイル全体を取得できます。」
「その結果、ダウンロードファイルをスキャンするツールや、PowerShellスクリプトがウェブリクエストを行っているかを監視するツールでは、この挙動を検出できません。」
その後、スクリプトは各キャッシュファイルをスキャンし、偽の画像内に保存された実際の.ZIPファイルの内容を探し出し、それをFortiClientComplianceChecker.exe―実際のマルウェア―として抽出します。攻撃者や被害者についての詳細はほとんど語られていませんが、どうやら一部のランサムウェア攻撃者はすでにこの手法を攻撃に利用し始めているようです。
