NORTONLIFE

 Norton LifeLockとは旧シンテック社のことですが、偽のNortonLifelock文書の形で巧妙な策略を使用して、被害者をだまして、リモートアクセスツールをインストールするフィッシング詐欺が見つかりました。もちろんこの偽のNortonLifelock文書は本物のNorton LifeLockではありません。
今回見つかったのは、NortonLifelock文書の形で精巧な作りになっており、感染経路は、悪意のあるマクロコードで作成された Microsoft Word 文書から始まります。この脅威は、Office スイート全体で既定で無効になっているマクロを有効にするために被害者を誘惑する創造的な戦術を使っております。

 パスワードで保護された NortonLifelock 文書と個人情報を使用するという名目で、被害者は、フィッシング詐欺メールで提供される可能性が最も高いパスワードをマクロが実行され、パスワードで入力できるように求められます。このパスワードはダイアログボックスが大文字/小文字の「C」のみを受け入れるようになっており、間違ったパスワードを入力すると、"キーが正しくない" というエラーメッセージが表示される仕組みになっています。この時は悪意のある操作は続行されません。

 しかし、パスワードのどこかの1文字に大文字/小文字の「C」を入力されると、悪意の操作であるマクロを続け、最終的にリモートコントロールを行うソフトウェア をインストールするコマンド文字列を作成します。このリモートコントロールを行うソフトウェア は正当なソフトウェアであるため、ユーザーは不思議に思うことがないのが現状となります。
 この流れは、VBA シェル関数を介して 3 つの手順で実現されます。

  1. /c パラメータを渡す cmd.exe を起動します。
  2. 'alpaca.bat' という名前のバッチ ファイルを構築します。
  3. 新しく作成したバッチ スクリプトを実行します。
 リモートコントロールを行うソフトウェアは、Windows インストーラ サービスの 'msiexec' コマンドを使ってダウンロードおよびインストールされます。配信はドメインから行われています。

 ただし、この手順は、要求に'msiexec'コマンドの一部であるユーザー エージェント文字列 'Windows インストーラー" が含まれている場合にのみ発生します。別のユーザー エージェントを使用すると、問題のないイメージが表示されます。

 この方法で取得された MSI ペイロードがユーザーに警告なしにインストールされ、PowerShell スクリプトが Windows %temp% フォルダーに追加されます。このフォルダーに作成されることによって、永続化のために使用され、その役割は、NetSupportマネージャリモートアクセスツールをインストールするためのバックアップソリューションの役割を果たします。
 プログラム続行する前に、スクリプトはアバストまたは AVG ウイルス対策の有無をチェックし、2 つのいずれかが実行されている場合は自動的に停止します。その後、スクリプトは NetSupport マネージャーが必要とするファイルをランダムな名前でフォルダに追加し、メイン実行可能ファイル ' プ​presentationhost.exe’、自動実行用のレジストリ キー(' HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run') を作成します。
 
 リモートアクセスツールを起動すると、コンピュータの名前が自動的に攻撃者に送信され、すべての PowerShell スクリプトが %temp% フォルダから削除されます。

 この活動は昨年の1月上旬に発見されましたが、2019年11月上旬までの関連活動を追跡したところ、ろ、拡大化となっていることが分かりました。

 最初に特定された関連する活動は、ターゲット企業に公的に関連付けられている人物、または映画や印刷業界の公人の名前を持つProtonの電子メールアドレスに依存していました。しかし、現在は広範囲に活動が拡大しております。
 今後の活動に十分注意し、気を付けてください。





PCゲーミングデバイス専門ストア
タグ :
#ノートン
#マルウェア
#注意