企業ユーザーを狙うRATマルウェアを含んだフィッシングメール（DoctorWeb Pacific発表）

私がマーケティング支援しているDoctorWeb Pacificからの情報発信です。興味がある方はご覧ください。

2020年11月、Doctor Webのウイルスアナリストは企業ユーザーを標的としたフィッシング攻撃を検出しました。攻撃に使用されたメールには、コンピューターを遠隔操作するためのツールである Remote Utilities ソフトウェアを密かにインストールして起動させるトロイの木馬が含まれていました。

このトロイの木馬のサンプルは次の2つのグループに分類することができます。

・オリジナルの Remote Utilities 実行ファイルと、DLLハイジャックによってロードされる悪意のあるモジュールを含む自己解凍型アーカイブ。このモジュールはプログラムのウィンドウやプログラムの動作を示す証拠がOSによって表示されるのを防ぎます。また、インストールされたり起動されたりすると攻撃者に通知を行います。Dr.Webはこのトロイの木馬を BackDoor.RMS.180 として検出します。
・
オリジナルの Remote Utilities インストールモジュールと、構成済みのMSIパッケージを含む自己解凍型アーカイブ。このMSIパッケージはリモートアクセスソフトウェアをサイレントインストールし、攻撃者が指定したサーバーにリモート接続する準備ができたことを通知します。Dr.Webはこのトロイの木馬を BackDoor.RMS.181 として検出します。

◆攻撃のシナリオ

これらいずれのグループのマルウェアも Remote Utilities ソフトウェアを使用しており、フィッシングメールのレイアウトも同じです。フィッシングメールは比較的上手に書かれたロシア語の長いメッセージで、関心のあるさまざまなトピックを開いて読むよう受信者を誘導するものとなっています。悪意のあるペイロードがパスワード保護されていて、そのパスワードがテキストファイルとしてメールに添付されているというのも注目すべき点です。パスワードはメールの送信日となっています。

（この続きは以下をご覧ください）
https://news.drweb.co.jp/show/?i=14083&c=0&p=0&fbclid=IwAR2VTP0n1wGLi9_LhFCusQcoNRej322OXA50DnOVCCp_vlEM_7v5xuhLh5s