大企業を標的にしたランサムウェア攻撃が報じられている昨今だが、ホームユーザーを標的にし、「Windows 10」やウイルス対策ソフトウェアのアップデートと称してランサムウェアを仕掛ける攻撃も依然として続いている。今回新たに、巧妙な手法を用いて検出を免れつつ、ファイルを暗号化し、数千ドル(数十万円)規模の身代金を要求するキャンペーンが確認されたという。
提供:Getty / Brothers91
HP Wolf Securityが米国時間10月13日に詳細を明らかにした、ランサムウェアの「Magniber」を展開するこのキャンペーンは、企業を標的にして多額の身代金を要求する攻撃とは異なり、個人ユーザーに比較的少額の身代金を要求することに注力しているという点で、2022年の傾向からは外れている。
このキャンペーンはさまざまな点で、個人のコンピューターのファイルを暗号化していた初期のランサムウェアキャンペーンへの回帰だと言える。とは言うものの、特にホームユーザーにとっては検出が困難な先進的テクニックが用いられている。
その攻撃チェーンは、ユーザーが攻撃者の支配下にあるウェブサイトにアクセスするところから始まる。こうしたウェブサイトは正規のウェブサイトやサービスであるかのように偽装されており、被害者はさまざまな経路を通じてアクセスするよう仕向けられている。
HP Wolf SecurityのマルウェアアナリストであるPatrick Schlapfer氏は米ZDNetに対して、「ユーザーをこの種のサイトに誘導する方法は複数ある。つまり、一般的なウェブサイトのドメイン名によく似た、誤入力しやすいドメインを登録しておくか、ウェブサイトをマルウェアに感染させ、ランサムウェアのインストーラーを仕掛けてある最終的なダウンロードサイトへとユーザーを誘導するかだ」と述べた。
また同氏は「このようなリダイレクトは、被害者のデバイスにインストールされている悪意あるブラウザー拡張機能によって実行されている可能性も疑われる」と付け加えた。
その後、リダイレクト先のウェブサイトで、ウイルス対策ソフトや「Windows」システムの重要なソフトウェアアップデートを適用して、コンピューターをアップデートする必要があると伝えてユーザーをだまし、ランサムウェアのペイロードが含まれたJavaScriptファイルをダウンロードするよう仕向けるという。
JavaScriptを介してMagniberを配布するというのは最近になって確認された新たな手法と言えるだろう。以前であれば、こういったマルウェアはMSIファイル(Windowsアプリやアップデートプログラムのインストールに用いられるパッケージファイル)やEXEファイル内に隠されていた。
攻撃者は「DotNetToJscript」というテクニックを用いることで、JavaScriptファイルを介して.NETの実行イメージをメモリー上にロードできるようになる。つまり、これによってランサムウェアをディスク上に保存しなくても済むようになる。マルウェアを直接メモリー上にロードすることで、メモリー内ではなくディスク上に書き込まれるファイルを監視するウイルス対策ソフトなどのセキュリティ検知/保護ツールをバイパスする攻撃が可能になる。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
