2020年11月、Doctor Webのウイルスアナリストは企業ユーザーを標的としたフィッシング攻撃を検出しました。攻撃に使用されたメールには、コンピューターを遠隔操作するためのツールである Remote Utilities ソフトウェアを密かにインストールして起動させるトロイの木馬が含まれていました。
###
このトロイの木馬のサンプルは次の2つのグループに分類することができます。
オリジナルの Remote Utilities 実行ファイルと、DLLハイジャックによってロードされる悪意のあるモジュールを含む自己解凍型アーカイブ。このモジュールはプログラムのウィンドウやプログラムの動作を示す証拠がOSによって表示されるのを防ぎます。また、インストールされたり起動されたりすると攻撃者に通知を行います。Dr.Webはこのトロイの木馬を BackDoor.RMS.180 として検出します。
オリジナルの Remote Utilities インストールモジュールと、構成済みのMSIパッケージを含む自己解凍型アーカイブ。このMSIパッケージはリモートアクセスソフトウェアをサイレントインストールし、攻撃者が指定したサーバーにリモート接続する準備ができたことを通知します。Dr.Webはこのトロイの木馬を BackDoor.RMS.181 として検出します。
攻撃のシナリオ
これらいずれのグループのマルウェアも Remote Utilities ソフトウェアを使用しており、フィッシングメールのレイアウトも同じです。フィッシングメールは比較的上手に書かれたロシア語の長いメッセージで、関心のあるさまざまなトピックを開いて読むよう受信者を誘導するものとなっています。悪意のあるペイロードがパスワード保護されていて、そのパスワードがテキストファイルとしてメールに添付されているというのも注目すべき点です。パスワードはメールの送信日となっています。
詳細は以下をご覧ください。
(リンク »)
このトロイの木馬のサンプルは次の2つのグループに分類することができます。
オリジナルの Remote Utilities 実行ファイルと、DLLハイジャックによってロードされる悪意のあるモジュールを含む自己解凍型アーカイブ。このモジュールはプログラムのウィンドウやプログラムの動作を示す証拠がOSによって表示されるのを防ぎます。また、インストールされたり起動されたりすると攻撃者に通知を行います。Dr.Webはこのトロイの木馬を BackDoor.RMS.180 として検出します。
オリジナルの Remote Utilities インストールモジュールと、構成済みのMSIパッケージを含む自己解凍型アーカイブ。このMSIパッケージはリモートアクセスソフトウェアをサイレントインストールし、攻撃者が指定したサーバーにリモート接続する準備ができたことを通知します。Dr.Webはこのトロイの木馬を BackDoor.RMS.181 として検出します。
攻撃のシナリオ
これらいずれのグループのマルウェアも Remote Utilities ソフトウェアを使用しており、フィッシングメールのレイアウトも同じです。フィッシングメールは比較的上手に書かれたロシア語の長いメッセージで、関心のあるさまざまなトピックを開いて読むよう受信者を誘導するものとなっています。悪意のあるペイロードがパスワード保護されていて、そのパスワードがテキストファイルとしてメールに添付されているというのも注目すべき点です。パスワードはメールの送信日となっています。
詳細は以下をご覧ください。
(リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
