Elastic Securityの研究者によると、人材紹介会社を装い、求職者を標的としたフィッシングキャンペーンが展開され、新種のマルウェアが使用されています。
Elastic Securityの研究者は次のように述べています。
「2024年4月下旬以降、当社のチームは人材紹介会社になりすました新しいフィッシングキャンペーンを確認しています。これらのメールでは、個人の名前と現在の雇用主を使用して、個人ユーザーを標的にし、社内システムへのリンクをクリックして求人情報を閲覧するように誘導しています。このリンクをクリックすると、そのユーザーを対象とした正規のページのように見せかけたランディングページが表示されます。」
このキャンペーンで使用されているランディングページでは、CAPTCHA(私はロボットではありません、という画面とともにボットを検出する仕組み)に回答してドキュメントをダウンロードするように求められます。このランディングページは、Google CloudのセキュリティチームがURSNIFマルウェアの新しい亜種について説明したときに登場した過去のキャンペーンに似ています。
ユーザーがCAPTCHAに回答すると、悪意のあるJavaScriptファイルがページからダウンロードされます。このファイルは、「WARMCOOKIE」と呼ばれるマルウェアのインストールを開始します。
Elastic Securityは次のように述べています。「WARMCOOKIEは新たに発見されたバックドアで、世界中のユーザーを標的とするキャンペーンで広く使用されています。当社のチームは、このマルウェアが標的ユーザーの環境にアクセスし、別のマルウェアをプッシュする機能を提供する危険な脅威と考えています。このマルウェアの機能にはいくつか問題がありますが、些細なものであり、いずれ解決されるはずです。」
Elastic Securityの研究者は、このサイバー攻撃者がセキュリティ技術による検出を回避する対策を講じていることを指摘し、次のように述べています。
「各ランディングページを攻撃する前に、このサイバー攻撃者は最初のフィッシングURLをホストするために侵害したインフラを使用しており、ワンクッションを置いています。各キャンペーンを実行した後に、各ドメインが評価される間に、新しいドメインを生成しています。この記事の執筆時点で、サイバー攻撃者は新しいドメインに移行しており、レピュテーションが多くヒットしていないことを確認できます。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、Elastic Securityの記事を参照してください。
原典:Stu Sjouwerman著 2024年6月14日発信 https://blog.knowbe4.com/phishing-campaign-targets-job-seekers-with-warmcookie-backdoor