偽の著作権侵害連絡

ある日あなたの会社に著作権侵害のメールが届きます。
今度は著作権侵害です。
今回も手が込んでいます。

  • 攻撃対象の会社の問い合わせフォームで攻撃者はメッセージを送信します。
  • メールはその企業の担当者に、 自社システムの問い合わせフォームからのメールとして届きます。
  • そのメールは著作権侵害の内容となっていて、強い口調で証跡のファイルを確認するように迫ります。
  • その証跡のファイルはsites.google.comへのリンクとなっています。
  • sites.google.comのリンクをクリックするとgoogleの認証情報の入力を促されます。
    これにより、問題検出のシステムとしては、より問題を検出しにくくなります。
  • 認証が通ると、難読化されたJavaScriptが含まれるZIPファイルがダウンロードされます。
  • このJavaScriptはWScript経由で実行され、PowerShellが起動され、暗号化済みIcedIDをダウンロードします。
  • 別のDLLローダーをもってきて、IceIDの入ったファイルを復号化しロードします。
  • リモート制御環境が出来上がります。

リモート制御環境が手に入るといろいろとできることが増えます。
周辺の機器の発見やPCのアンチウイルスの確認など、おなじみの情報収集を繰り広げます。

こんな風に問い合わせフォームからの苦情の体で届けられる攻撃のファイルなら、開いてしまう人も多いかもしれませんね。
次から次へとよく考えつくものです。

参考記事(外部リンク):Investigating a unique “form” of email delivery for IcedID malware
www.microsoft.com/security/blog/2021/04/09/investigating-a-unique-form-of-email-delivery-for-icedid-malware/

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。