IcedID情報スティーラーを拡散するマルスパム攻撃に注意してください
セキュリティ研究者は、2021年初頭に野生の新しいマルウェアキャンペーンを発見しました。その背後にある悪意のある人物によって行われた新しいプッシュは、偽のチェーンメールを使用して大規模なフィッシングメールスパムキャンペーンを偽装します。
彼らの努力に信頼を与えるために、この新しい攻撃の背後にいる攻撃者は、すでにハッキングされて侵害された被害者の受信トレイから持ち上げられた、本物の本物の電子メールメッセージを使用します。研究者たちは、この新しいキャンペーンの背後にある組織はTA551という名前のグループであり、Shathakと呼ばれることもあると信じています。これは、不特定の場所で活動している脅威アクターです。
偽の、しかし信頼できるスパムメール内のマルウェア
マルウェアを増殖させるスパムキャンペーンでは、MicrosoftWordファイルの形式で添付された電子メールを使用します。セットアップは予測可能です。悪意のあるWordの添付ファイルは、ユーザーにマクロを許可するように要求し、マクロの実行権限が付与されると、感染チェーンが開始されます。悪意のあるマクロはIcedIDinfostealerをダウンロードし、被害者のシステムにインストールします。
悪意のある電子メールを可能な限り説得力のあるものにするために、悪意のある攻撃者は以前に侵害されたクライアントからの電子メールを使用し、パスワードで保護されたアーカイブにWord文書を添付します。アーカイブは、電子メールがスプーフィングされている組織または会社にちなんで名付けられており、提供されたパスワードを使用してアーカイブを開くための簡単な追加の指示があります。
これまで、TA551は主に英語を話す人口統計を標的にしていましたが、攻撃はイタリア語、ドイツ語、日本語を話す国や人口にも拡大しました。感染ベクトルも変更されました。
以前、TA551はIcedIDのダウンローダーとしてValakマルウェアを使用していましたが、この最新のキャンペーンの場合と同様に、MicrosoftOfficeファイルで悪意のあるマクロを使用するようになりました。
研究者は、TA551が方法を改善し続け、情報スティーラーを広め、検出を回避するための継続的な取り組みをさらに前進させる新しい方法を考え出すことを期待しています。