マイクロソフトは、コールセンター詐欺を使用して新しいマルウェアキャンペーンを追跡します
マイクロソフトのサイバーセキュリティ部門のセキュリティ研究者は、最終的に被害者のシステムにランサムウェアを配備しようとする新しい2段階のマルウェア攻撃について一般の人々に警告しています。マルウェアキャンペーンを実行している攻撃者は、実際の電話オペレーターを使用してマルウェアを拡散しています。
マルウェア攻撃の最初のステップは、被害者がフィッシングメールを受信することです。電子メールのテキストは、巧妙なソーシャルエンジニアリングを使用して、被害者を怖がらせて行動に移します。手紙は、明示的にキャンセルされない場合、おそらく自動的に有料のものに移行するトライアルサブスクリプションをキャンセルするために、偽のサポート電話番号に電話するように受信者に促します。
ユーザーが偽のコールセンターサポートラインに電話をかけると、マルウェアギャングと協力しているライブオペレーターから連絡があります。電話オペレーターは、存在しないサブスクリプションをキャンセルしたい場合は、Excelファイルをダウンロードして入力する必要があるWebサイトにアクセスするように被害者に指示します。
ユーザーがExcelファイルをダウンロードして開くと、スプレッドシートファイルに含まれている悪意のあるマクロがメインペイロードをダウンロードします。使用されるマルウェアはBazarLoaderという名前で、犯罪者が後でさまざまな悪意のあるタスクを実行するために使用できるバックドアをインストールします。バックドアにより、ハッカーは被害者のシステムに追加のマルウェアをアップロードし、そこから情報を取得し、同じネットワークに接続されている他の脆弱なマシンを見つけて悪用することができます。
さまざまなフィッシングメールがさまざまな偽のサブスクリプションを餌として使用していますが、Microsoftは論理的に、Office365サブスクリプションを偽装してOfficeユーザーを標的とするメールに最も重点を置いています。マイクロソフトがマルウェアキャンペーンに関する投稿で強調しているもう1つの課題は、マルウェア対策ソフトウェアが元のフィッシングメールが悪意のあるものであることを見つけるのがいかに難しいかということです。フィッシングベイトには、悪意のある添付ファイルや悪意のあるドメインやURLへの直接リンクが含まれていないため、電子メールを悪意のあるものとして早期に検出してフラグを立てることは特に困難です。
さらに、Microsoftは、BazarLoaderキャンペーンを実行している同じマルウェアグループがCobaltStrike侵入テストキットも使用していることに気づきました。これは、ユーザーの資格情報を盗む目的と、ネットワーク上の単一のホストシステムが侵害されて侵害された後のネットワーク全体の横方向の移動を目的としています。