Chromeの偽アップデートからPCの制御権を奪う新キャンペーンに注意
TrellixはChromeのアップデートを装って、リモートアクセスツール「NetSupport Manager」のインストールに誘導するマルウェアキャンペーンを見つけた。
TrellixのAdvanced Research Centerは2023年8月10日(現地時間、以下同)、「Google Chrome」(以下、Chrome)のアップデートを装い、「NetSupport Manager」というリモートアクセスツール(以下、RAT)のインストールに誘導するキャンペーンを検出したと報じた。
正規のリモートアクセスツールを悪用してマルウェア感染を図る
Trellixの脅威インテリジェンス機関Advanced Research Centerは、2023年6月の後半に偽のChromeアップデートキャンペーンが展開されていることを発見した。
この攻撃キャンペーンはまず、侵害したWebサイトに専用のJavaScriptを設置するところから始まる。JavaScriptは最終的にユーザーを偽のChromeアップデートのページに誘導し、そこからバッチファイル(.BAT)やVB Script、curlなどを使って「NetSupport Manager」と呼ばれるRATをインストールする。
NetSupport Manager自体は正規のプログラムであり、このインストールが完了すれば、サイバー攻撃者はセキュリティ回避など不要で、被害者のPCの制御権を乗っ取りリモートからコマンドを実行できるようになる。そのためその後、マルウェアの配布や情報の窃取、ラテラルムーブメントなどが実施される恐れがある。
Trellixは「以前から確認されている攻撃手法であっても、それらが有効に機能していることが分かれば、脅威アクターは再びその手法を採用する可能性がある」と指摘している。今回発見されたキャンペーンもこれを裏付けており、これまでさまざまなサイバー攻撃で使われてきた偽のWebブラウザアップデートの詐欺手口が積極的に再利用されている。
脅威アクターはターゲットとなるプラットフォームに最初からインストールされているツールを使用して不要なダウンロードやカスタムコンポーネントの作成を回避し、難読化が容易なテキストベースまたはスクリプトベースのプログラミング言語を使用するなど工夫しているため注意が必要だ。
NetSupport Managerを悪用するキャンペーンは以前ロシアの脅威アクターが実施していた「SocGholish」キャンペーンとの類似性が指摘されている。しかし使用するツールに違いがあるなどSocGholishとの関連性は決定的なものとは言えないという。
関連記事
- 150万人がクラウドアカウント乗っ取り被害 MFAをバイパスするEvilProxyとは?
Proofpointによるとこの6カ月で大手企業のクラウドアカウント乗っ取り事件が100%以上急増して150万人が被害を受けたという。MFAがバイパスされるケースが増えており、その対策として幾つかの案が提案されている。 - AIを使った脅威検出、活用できている企業は約1割 OPSWATが調査発表
OPSWATは300人以上のITプロフェッショナルを対象にセキュリティ調査を実施した。マルウェア対策やAI活用の実態、現状の課題などが浮き彫りになった。 - さまざまな脆弱性を悪用して拡大するbotネット「TrueBot」の実態とは?
マルウェア「TrueBot」によるフィッシング攻撃が拡大している。このマルウェアは幾つかの脆弱性を悪用して被害を着々と拡大しているようだ。 - パスワードは“覚えるもの”という先入観はそろそろ捨てませんか?
今や多くのセキュリティソリューションが世の中に出回っていますが、有料でも入れるべきだと筆者が主張するのが「パスワード管理ソフトウェア」です。これを使うことでどのような世界が開けるのでしょうか。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.