米国のセキュリティ企業Trustwaveの研究者は、請求書のように見せかけたHTML形式の添付ファイルを通じてマルウェアを配信するフィッシングキャンペーンについて警告しています。注意が必要なのは、これらのHTMLファイルはWindows Searchプロトコルを悪用してWindows Explorerを起動し、ユーザーにマルウェアをインストールさせる手口を使用していることです。
Trustwaveの研究者は次のように述べています。
「TrustwaveのSpiderLabsは、Windows Search機能をHTMLコードに埋め込んでマルウェアを配信する、高度なマルウェアキャンペーンを検出しました。私たちは、このサイバー攻撃者が、システムの脆弱性と、ユーザーの行動を詳細に把握していることを発見しました。このキャンペーンは、請求書などの一般的な文書に見せかけたHTMLファイルが添付された不審なメールから始まります。このサイバー攻撃者は、ユーザーを欺き、メールセキュリティスキャナーを回避するために、HTMLファイルをZIPアーカイブに保存しています。」
ユーザーがこのHTMLファイルを開くと、Windows Explorerを実行して良いか許可を求めるメッセージが表示されます。この機能にユーザーが騙されると、悪意のあるスクリプトが実行されます。
Trustwaveは次のように解説しています。
「ユーザーがSearch Actionを許可すると、攻撃は次の段階に移行します。Search 機能により、請求書のような名前のファイルがリモートサーバーから取得されます。検索結果にはショートカット(LNK)ファイルのみが表示されます。このLNKファイルは、同じリモートサーバーにホストされているバッチスクリプト(BAT)を指定しており、ユーザーがクリックすると、悪意ある操作が追加で実行される恐れがあります。」
Trustwaveは、進化し続けるソーシャルエンジニアリングの手法を防ぐためには、ユーザーの意識を向上させる必要があると結論付けています。
Trustwaveの研究者は、次のように述べています。
「このHTMLドキュメントは、攻撃でおいて重要な役割を果たしており、Windows Search機能を利用してスクリプトを簡単に実行できるようにしています。この攻撃ではマルウェアは自動的にインストールされる仕組みにはなっておらず、ユーザーにいくつかの確認画面を操作させクリックさせる必要があります。」
しかし、この手法は攻撃者の本当の目的を巧みに隠蔽しており、ユーザーが使い慣れたインターフェースを信頼しており、メールの添付ファイルを開くといった一般的な操作を無意識に実行している習性を悪用しています。脅威環境がますます複雑化する中で、継続的なセキュリティ教育と、積極的なセキュリティ戦略の実行は、ユーザーを騙すこのような狡猾な手口から身を守るために最も重要です。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、Trustwaveの全文を参照してください。
原典:Stu Sjouwerman著 2024年6月17日発信 https://blog.knowbe4.com/phishing-campaign-abuses-windows-search-to-distribute-malware