Last Updated on 2024-09-27 06:56 by admin
サイバーセキュリティ研究者たちは、偽のGoogle SitesページとHTMLスマグリングを利用して、情報窃盗を容易にする商用マルウェア「AZORult」を配布する新たなマルウェアキャンペーンを発見した。この技術では、悪意のあるペイロードが外部ウェブサイトにホストされた別のJSONファイルに埋め込まれる。フィッシングキャンペーンは特定の脅威アクターやグループには帰属されておらず、広範囲にわたって実施され、地下フォーラムでの販売を目的として機密データを収集する意図で行われている。
AZORultは、2016年頃に初めて検出された情報窃盗マルウェアで、フィッシングやマルスパムキャンペーン、海賊版ソフトウェアやメディアのトロイの木馬化インストーラー、マルバタイジングを通じて配布される。インストールされると、ウェブブラウザの認証情報、クッキー、履歴、スクリーンショット、特定の拡張子を持つ文書(.TXT、.DOC、.XLS、.DOCX、.XLSX、.AXX、.KDBX)、137種類の暗号通貨ウォレットからのデータを収集する能力がある。
最新の攻撃活動では、脅威アクターがGoogle Sites上に偽のGoogle Docsページを作成し、HTMLスマグリングを利用してペイロードを配布している。HTMLスマグリングは、正当なHTML5とJavaScriptの機能を悪用して、エンコードされた悪意のあるスクリプトを「密輸」し、マルウェアを組み立てて起動する技術である。その結果、フィッシングメールから詐欺ページを開いた訪問者のブラウザはスクリプトをデコードし、ホストデバイス上でペイロードを抽出し、添付ファイルが怪しいかどうかのみを検査するメールゲートウェイなどの典型的なセキュリティコントロールを効果的に回避する。
このAZORultキャンペーンは、CAPTCHA障壁を追加することで、正当性の外観を与えるとともに、URLスキャナーに対する追加の保護層として機能する。ダウンロードされたファイルは、PDF銀行明細書に偽装したショートカットファイル(.LNK)であり、これを起動すると、既に侵害されたドメインから一連の中間バッチおよびPowerShellスクリプトを実行する一連のアクションが開始される。そのうちの一つのPowerShellスクリプト(“agent3.ps1”)は、AZORultローダー(“service.exe”)をフェッチし、これがさらに別のPowerShellスクリプト(“sd2.ps1”)をダウンロードして実行し、そのスクリプトにはスティーラーマルウェアが含まれている。
【ニュース解説】
サイバーセキュリティ研究者たちが、偽のGoogle SitesページとHTMLスマグリング技術を駆使して、情報窃盗を目的とした商用マルウェア「AZORult」を配布する新たなマルウェアキャンペーンを発見しました。この技術では、悪意のあるペイロードが外部ウェブサイトにホストされた別のJSONファイルに埋め込まれています。このフィッシングキャンペーンは、特定の脅威アクターやグループには帰属されておらず、広範囲にわたって実施されています。目的は、機密データを収集し、それを地下フォーラムで販売することです。
AZORultは、2016年頃に初めて検出された情報窃盗マルウェアで、フィッシングやマルスパムキャンペーン、海賊版ソフトウェアやメディアのトロイの木馬化インストーラー、マルバタイジングを通じて配布されます。インストールされると、ウェブブラウザの認証情報、クッキー、履歴、スクリーンショット、特定の拡張子を持つ文書、137種類の暗号通貨ウォレットからのデータを収集する能力があります。
最新の攻撃活動では、脅威アクターがGoogle Sites上に偽のGoogle Docsページを作成し、HTMLスマグリングを利用してペイロードを配布しています。HTMLスマグリングは、正当なHTML5とJavaScriptの機能を悪用して、エンコードされた悪意のあるスクリプトを「密輸」し、マルウェアを組み立てて起動する技術です。その結果、フィッシングメールから詐欺ページを開いた訪問者のブラウザはスクリプトをデコードし、ホストデバイス上でペイロードを抽出し、添付ファイルが怪しいかどうかのみを検査するメールゲートウェイなどの典型的なセキュリティコントロールを効果的に回避します。
このキャンペーンは、CAPTCHA障壁を追加することで、正当性の外観を与えるとともに、URLスキャナーに対する追加の保護層として機能します。ダウンロードされたファイルは、PDF銀行明細書に偽装したショートカットファイル(.LNK)であり、これを起動すると、既に侵害されたドメインから一連の中間バッチおよびPowerShellスクリプトを実行する一連のアクションが開始されます。そのうちの一つのPowerShellスクリプト(“agent3.ps1”)は、AZORultローダー(“service.exe”)をフェッチし、これがさらに別のPowerShellスクリプト(“sd2.ps1”)をダウンロードして実行し、そのスクリプトにはスティーラーマルウェアが含まれています。
このような攻撃手法は、セキュリティ対策を回避するための巧妙な方法として注目されています。HTMLスマグリングにより、従来のセキュリティシステムが検出しにくい新たな脅威が生まれています。この技術の使用は、サイバーセキュリティの専門家にとって新たな課題を提示し、ウェブベースの攻撃を防ぐための新しい対策の開発を促しています。また、一般のユーザーにとっては、フィッシング詐欺やマルウェアに対する警戒を一層強める必要があることを示しています。セキュリティ教育の強化や、信頼できるセキュリティソフトウェアの利用が、このような脅威から保護するための鍵となります。
from Hackers Using Sneaky HTML Smuggling to Deliver Malware via Fake Google Sites.
“偽Google SitesとHTMLスマグリングで情報窃盗、新マルウェア「AZORult」拡散中” への1件のコメント
この記事によって、サイバーセキュリティ業界が直面している新しい挑戦が明らかになりました。HTMLスマグリングのような技術を利用することで、攻撃者は従来のセキュリティメカニズムを巧みに回避し、マルウェアを配布することが可能になっています。特に、信頼されているウェブサイトやサービスを偽装することで、一般ユーザーが詐欺に気づきにくくなっている点が懸念材料です。
私たちITエンジニアとしては、このような新たな脅威に対抗するために、セキュリティ対策を常に更新し続ける必要があります。具体的には、フィッシング詐欺やマルウェア配布の手法が日々進化しているため、セキュリティ教育の強化や最新のセキュリティソフトウェアの導入が不可欠です。また、エンドユーザーに対しても、怪しいメールやリンクに注意するよう啓蒙活動を行うことが重要です。
AZORultマルウェアキャンペーンのような事例を見ると、攻撃者がどのようにしてセキュリティ対策を回避しているか、そしてどのようなデータが狙われているかを理解することができます。この情報は、対抗策を立てるうえで非常に価値があります。例えば、攻撃者がCAPTCHAを利用してURLスキ