Cisco Talosの研究者は、セキュリティフィルタを回避する新しい手法がフィッシングキャンペーンで使用され、DarkGateマルウェアが拡散していることを報告しています。
Cisco Talosの研究者は次のように述べています。「DarkGateマルウェアの特徴は、秘密裏に拡散する手法、情報詐取の能力、検出回避の戦略、そして個人ユーザーと企業の両方に広く影響を与えることです。最近、DarkGateマルウェアは、Microsoft Teamsや不正な広告キャンペーンからも配信されていることが確認されています。特に、最新のキャンペーンでは、AutoITの代わりにAutoHotKeyスクリプトが使用されており、DarkGateを操っているサイバー攻撃者が継続的にマルウェアを進化させており、検出を回避するために感染チェーンを変更しています。」
このマルウェアは、フィッシングメールに添付された悪意のあるExcel文書から配信されています。このフィッシングメールは、企業のCEOから送信されているように見せかけており、受信者に添付文書を早急に確認するよう促しています。
Cisco Talosの研究者はさらに次のように述べています。「Cisco Talosがこれらのメールの目的を分析した結果、内容は金銭に関わる内容や公的な通知であり、受信者に添付された文書を思わず開いてしまうようにしむけされています。ユーザーが悪意のあるExcel文書を開くと、感染プロセスが始まります。これらのファイルは、「リモートテンプレートインジェクション」と呼ばれる正規の手段を悪用し、リモートサーバーにホストされている悪意のあるコンテンツを自動的にダウンロードし実行するように特別に作られています。」
Cisco Talosの研究者は、リモートテンプレートインジェクションの手法はあまり一般的ではなく、一般的なセキュリティ対策では検出されない可能性が高いと説明しています。
Cisco Talosは次のように述べています。「リモートテンプレートインジェクションは、外部ソースからテンプレートをインポートして、文書の機能や特徴を拡張するExcelの正規の機能を悪用する手法です。この手法は、ユーザーが文書ファイルを警戒していないことを逆手にとっており、さらに、実行可能ファイルに比べて文書テンプレートには対しては厳格なチェックを行っていないセキュリティプロトコルを巧みに回避しています。これは、攻撃者がシステムに侵入するための洗練された戦術であり、従来型の実行ファイル形式のマルウェアを使用せずに感染させることが可能になっています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、Cisco Tarosの記事を参照してください。
原典:Stu Sjouwerman著 2024年6月11日発信 https://blog.knowbe4.com/darkgate-malware-spread-via-phishing