コロナ禍を悪用してマルウェアを拡散する攻撃者たち
サイバー攻撃者は、攻撃の好機を無駄にすることはありません。コロナ禍も例外ではありません。攻撃者は、このパンデミックを利用して、大量のマル・スパムやフィッシングを発生させ、標的への感染の機会を増やしています。実際、生物学的なウイルスがコンピュータウイルスの拡散に役立った初めてのケースかもしれません。
ここ数週間で、新型コロナウイルスをテーマにした不正なスパムメールやフィッシングメールを利用したマルウェアキャンペーンが多数発生しています。このブログ記事では、これらのキャンペーンの概要と、ユーザーや組織がこれらのキャンペーンやその他のキャンペーンから身を守る方法を紹介します。
新型コロナウイルスをテーマにした有名なキャンペーン
2019 年に最も注目を集めたマルウェアのキャンペーンの中には、2020 年もコロナ禍を利用して戦略的にキャンペーンを継続しているものもあります。
例えば、高度な金融マルウェアである Trickbot は、WHOからの偽装メールを利用して被害者をおびき寄せ、メールに添付された Word ファイルをダウンロードさせます。ファイルがダウンロードされると、VBA マクロが実行され、Trickbot がダウンロードされます。当然のことながら、 Emotet もコロナ禍を利用しており、フィッシングメールを介して拡散するほか、新型コロナウイルスに関連する文字列を実行可能なペイロードに追加するという異なるアプローチをとっています。このような例としては、CNN の記事からの文字列が、疑うことを知らないユーザーを騙し、おそらくセキュリティ製品による検出を回避するために、Emotet の実行ファイルのペイロード内およびペイロードの詳細セクションに含まれていました。
有名なサイバー犯罪者のマルウェアに加えて、 国家のアクター もターゲットを感染させるために新型コロナウィルスについて書かれたメールを使い始めました。例えば、ロシアに帰属するグループ「APT28」は、ウクライナにいる標的に対して、新型コロナウィルスをテーマにした文書を餌として使い始めました。また、中国や北朝鮮の攻撃グループも同様の手法を用いていることが確認されています。
非常に独創的な操作により、正規の新型コロナウィルスのライブヒートマップを使用して マルウェアを拡散 しました。Azorult パスワードスティーラーを広めるための試みと思われるこの試みでは、JAR ベースの本物の新型コロナウィルスのライブマップがダウンロードされます。しかし、この JAR ファイルには、マップに加えて悪意のあるローダーが含まれており、攻撃者の選択に応じてペイロードをダウンロードすることができます。
ジョンズ・ホプキンス大学の新型コロナウイルス データマップ(coronavirus.jhu.edu)
これらは、攻撃者がマルウェアを拡散するために現状を操作する方法の一部に過ぎません。
自分を守るために
ユーザーや組織は、以下の異なる方法でこれらの脅威から身を守ることができます。
- WHOからのメールを装ったフィッシングメールが多い昨今、WHOからの連絡は @who.int のメールアドレスからのみ行われることに注意してください。また、WHO のウェブサイトには、詐欺行為を報告するためのリンクがあります : https://www.who.int/about/report_scam/en/
- 知らない送信者からの電子メールを開かないでください。さらに、未知の送信者や信頼できない送信者からの添付ファイルを開かないでください。コロナ禍における最善の方法に関するアドバイスは、WHO や各国の政府省庁などの公式機関のウェブページから得るべきです
- 自宅での作業を安全に行うようにしてください。このテーマについては、 ヒントやセキュリティガイドライン が提供されています
- 使用している エンドポイント ソリューション には、職場や自宅など、どこにいても マルウェア を防ぐことができる高度なセキュリティ ソリューションがインストールされていることを確認してください
Deep Instinct の ディープラーニング 術は、既知のマルウェアと未知のマルウェアの両方を防ぐことができます。具体的には、Deep Instinct社は、本記事で紹介したすべてのマルウェアキャンペーンから保護し、当社の ディープラーニング を使用して、既知および未知の JAR マルウェア の事前実行を防止できる唯一の サイバーセキュリティ企業 です。