この新しい攻撃は、非常に簡易に見えますが、悪意のあるコードの起動に成功すると、被害者のコンピューターに保存されている価値のあるすべての情報を盗み出します。
情報窃盗型マルウェア「Mr.Anon」は、ブラウザーのキャッシュやパスワード以外の多くの情報を窃取します。また、攻撃を成功させるために効果があることが証明されている基本的なソーシャルエンジニアリングの手法も使用しています。
予約用のPDFファイルが添付された「12月の空室照会」という件名のメールが使用され、被害者に誤って送信されたように見せかけたホテルの予約メールからこの攻撃は始まります。
出典:Fortinet
このPDFを開くと、Flashのアップデートが必要であるように偽って、ユーザーに操作させて悪意のある添付ファイルを実行するように要求します。この添付ファイルは、.NETの実行ファイル、埋め込まれた.zipファイル、PowerShellスクリプト、ダウンロードされたペイロード(pythonスクリプト)が組み合わさったものです。
この攻撃には注意が必要な点がいくつかあります。最初は、ソーシャルエンジニアリングの手法です。電子メールで最初にホテル予約のリクエストが送信されますが、次にPythonスクリプトを実行するステップが用意されており、このときに攻撃者は意図的に、[File Not Supported(サポートされないファイル)]ウィンドウを開き、[Not Run: python.exe(python.exeは実行されません)] というステータスメッセージを表示します。これは虚偽の表示で、マルウェアが正常に実行されなかったとユーザーに信じ込ませ、秘密裏に活動できる状態の維持することを目的としています。
検出を回避するために難読化も行われています。悪意のあるコードは、基本的にはpythonの実行ファイルです。このファイルはcx-freezeでエンコードされており、.zipファイル内のコードからダウンロードする必要があります。また、このファイルは、.exeの添付ファイル内に埋め込まれています。これらは、すべて検出を回避するために行われています。Windows OSの機能の1つであるPowerShellを使用していることも、検出を回避する別のステップと考えることができます。
最後に、この情報窃取型マルウェアの能力について見てみましょう。情報窃取型マルウェアMr. Anonは、これまでの同タイプのマルウェアよりも以下のような多くの情報を盗み出します。
- ブラウザーデータ
- デスクトップベースのデジタルウォレット
- パスワードまたは接続関連のブラウザ拡張機能
- メッセージ
- VPNクライアント
- ブラウザベースのデジタルウォレット
- 26種類のファイルタイプのデータ
収集されたデータはすべて1つの.zipファイルに圧縮され、公開されているファイル共有サイトにアップロードされます。
クラウドベースの企業リソースにアクセスするときに使用するパスワードは、ユーザーは習慣的にブラウザ内で管理していることから、このような攻撃から保護するためには、新しいスタイルの先進的なセキュリティ意識向上トレーニングを実施して、このような攻撃を特定し、メールに含まれる添付ファイルやリンクを操作しないようにユーザーを教育することが必要です。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの醸成につなげています。
原典:Stu Sjouwerman著 2023年12月20日発信 https://blog.knowbe4.com/infostealer-attacks-start-hotel-booking-email
