Excel はフィッシング詐欺師の新鮮な餌として使用されています。その方法は次のとおりです。
2分。 読んだ
更新日
MSPoweruser の編集チームの維持にどのように貢献できるかについては、開示ページをお読みください。 続きを読む
Evil Corpは、Microsoft Excelドキュメントを使用して、被害者をフィッシングする新しい方法を発見しました。
TA505およびSectorJo4としても知られるサイバー犯罪グループは、金銭的に動機付けられたサイバー犯罪者です。 Necursボットネットを使用して、大規模な悪意のあるスパムキャンペーンで小売企業や金融機関を標的にすることで有名です。 しかし今、彼らは新しい技術を採用しています。
彼らの最新の詐欺では、悪意のあるExcelドキュメントを含むHTMLリダイレクタを特徴とする添付ファイルを送信しています。 リンクを介して、リモートアクセス型トロイの木馬を配布しています(ラット)、 マルウェアダウンローダー これにより、DridexおよびTrickバンキング型トロイの木馬が配信されました。 これには、Locky、BitPaymer、Philadelphia、GlobeImposter、Jaffランサムウェア株も含まれます。
「新しいキャンペーンでは、メールに添付されたHTMLリダイレクタを使用しています。 HTMLを開くと、ペイロードをドロップする悪意のあるマクロを含むExcelファイルであるDudearがダウンロードされます。」
「対照的に、過去のDudearの電子メールキャンペーンでは、マルウェアが添付ファイルとして運ばれたり、悪意のあるURLが使用されたりしていました。」 -マイクロソフトセキュリティインテリジェンスの研究者。
今日最大のマルウェアキャンペーンの一部で使用されているDudear(別名TA505 / SectorJ04 / Evil Corp)は、短い休止期間を経て、今月再び稼働しました。 戦術にいくつかの変更が見られましたが、復活したDudearは依然として情報を盗むトロイの木馬GraceWireの配備を試みています。
— Microsoft 脅威インテリジェンス (@MsftSecIntel) 2020 年 1 月 30 日
HTML添付ファイルを開くと、被害者は自動的にExcelファイルをダウンロードします。 彼らがそれを開くと、これは彼らが出会うものです:
ターゲットがドキュメントで指示されているように「編集を有効にする」をクリックすると、システム上のマルウェアを解き放ちます。
この時点以降、デバイスはIPトレースバックサービスにも感染します。このサービスは、「悪意のあるExcelファイルをダウンロードするマシンのIPアドレスを追跡します」。
脅威分析レポート (Microsoft)
これに加えて、マルウェアには情報を盗むトロイの木馬であるGraceWireが含まれています。このトロイの木馬は機密情報を収集し、コマンドアンドコントロールサーバーを介して加害者に中継します。
キャンペーンで使用されたマルウェアサンプルのSHA-256ハッシュを含む、侵入の痕跡(IOC)の完全なリストを表示します。 こちら および こちら.
情報源: ピーという音がするコンピュータ