ある日あなたの会社に著作権侵害のメールが届きます。
今度は著作権侵害です。
今回も手が込んでいます。
- 攻撃対象の会社の問い合わせフォームで攻撃者はメッセージを送信します。
- メールはその企業の担当者に、 自社システムの問い合わせフォームからのメールとして届きます。
- そのメールは著作権侵害の内容となっていて、強い口調で証跡のファイルを確認するように迫ります。
- その証跡のファイルはsites.google.comへのリンクとなっています。
- sites.google.comのリンクをクリックするとgoogleの認証情報の入力を促されます。
これにより、問題検出のシステムとしては、より問題を検出しにくくなります。 - 認証が通ると、難読化されたJavaScriptが含まれるZIPファイルがダウンロードされます。
- このJavaScriptはWScript経由で実行され、PowerShellが起動され、暗号化済みIcedIDをダウンロードします。
- 別のDLLローダーをもってきて、IceIDの入ったファイルを復号化しロードします。
- リモート制御環境が出来上がります。
リモート制御環境が手に入るといろいろとできることが増えます。
周辺の機器の発見やPCのアンチウイルスの確認など、おなじみの情報収集を繰り広げます。
こんな風に問い合わせフォームからの苦情の体で届けられる攻撃のファイルなら、開いてしまう人も多いかもしれませんね。
次から次へとよく考えつくものです。
参考記事(外部リンク):Investigating a unique “form” of email delivery for IcedID malware
www.microsoft.com/security/blog/2021/04/09/investigating-a-unique-form-of-email-delivery-for-icedid-malware/
この記事をシェア |
---|