メールを受信したユーザーを騙し、DarkGateマルウェアをインストールするための悪意のあるコマンドをシステムに貼り付け実行させる新しいフィッシングキャンペーンが展開されています。
韓国のセキュリティ企業Ahnlabの研究者が、これまでとは異なる操作をユーザーに実行させる新しいフィッシングキャンペーンを発見しました。通常のフィッシングキャンペーンではHTMLの添付ファイルをユーザーに開かせようとします。
しかし、このキャンペーンでは、偽のWordのオンラインページが開かれ、その上にダイアログボックスが表示されます。ユーザーはWindowsの「ファイル名を指定して実行」ダイアログボックスを開き、クリップボードにコピーした内容を貼り付け、Enterキーを押すよう求められます。
出典:Ahnlab
このHTMLファイルは、悪意のあるPowerShellコマンドをコンピューターのクリップボードにロードし、ユーザーがオペレーティングシステムで実行するように要求します。
このPowerShellコマンドは、ユーザーのコンピューターをあるWebアドレスのサイトに接続し、HTAファイルをダウンロードします。
この方法がとても奇妙に見えるのは、これで騙される可能性がほぼないと思われるからです。まず、上のスクリーンショットのURLがローカルC:ドライブのファイルパスとなっています。また、ダイアログボックスに表示されているボタンの名前も「How to Fix(修正方法)」となっていますが、通常なら「Fix(修正する)」と表示されます。
しかし、要求されたことを何も考えずにそのまま実行してしまう従業員も存在するのでしょう。だからダイアログボックスにCtrlとVキーを押して、コマンドを実行させるという奇妙な方法がサイバー攻撃で利用されているのです。
セキュリティ意識向上トレーニングを継続的に受講しているユーザーは、このような稚拙なサイバー攻撃を簡単に見抜くことができ、フィッシングやソーシャルエンジニアリング攻撃から組織を保護できます。KnowBe4のセキュリティ意識向上トレーニングは、従業員の一人ひとりがセキュリティ上、正しい判断ができるようにお客様を支援しています。世界の6万5千社を超える企業や団体がKnowBe4のプラットフォームを採用して、人に起因するリスクの低減と強力なセキュリティカルチャー(文化)の形成につなげています。
原典:Stu Sjouwerman著 2024年7月5日発信 https://blog.knowbe4.com/new-paste-run-phishing-technique