Astarothはバンキング型マルウェアです。
その登場は古く、2017年ごろから観測されているものです。
登場当時はブラジルが主戦場でしたが、時間の経過とともにその活動範囲は広がってきています。
そして、変化しているのは活動範囲だけではありません。
最近のAstarothを使った脅威キャンペーンの様子を見てみましょう。
- メールが来る
多くの例と同じように、この脅威キャンペーンもメールから始まります。
フィッシングメールです。
他の例と同じように怪しさの少ない仕上がりのメールの姿をしています。
メールの送信者もメールのsubjectもメールの本文もメールの添付ファイルも、全面的に公的機関の送付したものに見える体裁になっています。 - 添付ファイルを開かせる
メールのsubjectでも本文でも、税金や法令順守に関連した注意が必要な状態になっているということを通知する内容になっています。
そして、ZIPファイルのファイル名は個人の所得税に関連するものとなっています。
その巧みな文面によって、受信者に添付ファイルを開かせます。
添付ファイルの形式はZIPファイルです。 - ZIPの中身を開く
ZIPを開いただけではまだ感染していませんが、ZIPを開いた受信者の活動も、ここでは終わりません。
ZIPの中には複数のファイルが入っています。
メールの知らせようとしている内容を把握するため、ZIPの中のファイルをダブルクリックします。
ここでダブルクリックが想定されているファイルはLNKファイルです。
これが感染活動の開始となります。 - LNKが仕事をする
ZIPの中にはいくつかのファイルが入っています。
LNKファイルと、.pdf、.jpg、.png、.gif、.mov、.mp4 などの拡張子を持つファイルとなっています。
LNKファイルはLNKファイルなのですが、その他のファイルはその拡張子の示す内容ではないものになっているかもしれません。
LNKがダブルクリックされると、埋め込まれた悪意のある難読化されたJavaScriptコマンドが実行されます。
そして、そのJavaScriptが他のファイルを処理します。
他のファイルは、Base64でデコードされ、悪意あるスクリプトとなります。
無害そうに見える拡張子のファイルしかZIPに含まれていないと見せることで安心感を増幅させようという作戦なのかもしれません。
こうして脅威アクターの用意した機構が侵害環境で動作を開始し、最終的にはAstarothを設置します。
脅威アクターの活動内容は継続的に変化し、回避機構も追加されていきます。
マルウェアそのものも変化しますし、マルウェアを持ち込む手法も変化します。
十分に古くて各種セキュリティソリューションで防御できる状態となっていた脅威であっても、脅威側の変化で十分な防御ができない状態になりえます。
強力なパスワードポリシーを適用し、多要素認証を使用し、セキュリティソリューションとソフトウェアを最新の状態に保ち、最小権限の原則を適用するなどという取り組みは重要です。
しかし、それだけでなく、ユーザーが気付かないうちに悪意のあるファイルをクリックすることを利用しようとしてきますので、人間の認識が極めて重要であるということを忘れないようにしたいものです。
Water Makara Uses Obfuscated JavaScript in Spear Phishing Campaign, Targets Brazil With Astaroth Malware
https://www.trendmicro.com/en_us/research/24/j/water-makara-uses-obfuscated-javascript-in-spear-phishing-campai.html
| この記事をシェア |
|
|---|
