Trickbotマルウェアを蔓延させる投票キャンペーン「Fake Black Lives Matter」

セキュリティ研究者は、Black Lives Matterが情報を盗むマルウェアであるTrickBotを拡散していることについてユーザーに匿名で投票することを求めるフィッシングメール詐欺キャンペーンに気づきました。

上記のマルウェアはバンキング型トロイの木馬以来、数多くの悪意のある活動を行うように進化してきました。

この動作は、ネットワークを介して横方向に広がり、ブラウザ、Active Directoryサービスデータベース、Cookie、OpenSSHキー、RDP、VNCなどで保存された資格情報を盗むことが判明しています。

TrickBotは、Ryukなどのランサムウェアオペレーターと提携して、侵害されたネットワークにアクセスしてランサムウェアを展開できることも判明しています。

Black Lives Matterムーブメントの詳細

Abuse.chというサイバーセキュリティ組織によって発見されたように、脅威の攻撃者は現在のイベントを使用して、標的となるユーザーをだまして悪意のある電子メールを開かせます。そのような場合、キャンペーンは「国の行政」からのものであるように見せかけ、Black Lives Matterについて匿名で投票するようユーザーに求めます。

このメールには、実際に「Black Lives Matter」について内密にレビューを残すようユーザーに指示してから、「e-vote_form_3438.doc」という名前の添付ファイルに記入して返送するように求めています。

添付ファイルがダウンロードされて実行されると、MS Wordで開き、含まれているコンテンツを正しく表示するには[編集を有効にする]ボタンと[コンテンツを有効にする]ボタンをクリックする必要があるというメッセージが表示されます。

ただし、ボタンがクリックされると、ドキュメントはマクロを実行して悪意のあるDLLをコンピューターにダウンロードし、実行します。このDLLファイルは実際にはTrickBotトロイの木馬で、モジュールをさらにダウンロードしてマシンに感染し、ネットワークに接続された端末全体で銀行の資格情報や情報を盗みます。

TrickBotトロイの木馬の機能に基づくと、企業ユーザーでもホームユーザーでも、それは壊滅的なコンピューター感染であると言われています。

そのため、マルウェアの開発者やプロモーターは、過去の重要な瞬間や政情不安の中で、より積極的になることに留意することが非常に重要です。

このようなフィッシング詐欺を目にすることは目新しいことではなく、フィッシング攻撃とサイバー攻撃が最近劇的に増加しており、Covid-19をテーマにしているため、驚くことではありません。特に政治的または社会的に動機付けられた電子メールを受信して​​いる間は、偽装された形のマルウェアである可能性があるため、このような電子メールには非常に注意する必要があります。