サイバーセキュリティ研究者は、StrelaStealerと呼ばれる情報窃取マルウェアを配布するための新たなフィッシング攻撃の波を検出した。この攻撃は、EUと米国の100以上の組織に影響を与えている。Palo Alto Networks Unit 42の研究者によると、これらの攻撃はスパムメールの添付ファイルを通じてStrelaStealerのDLLペイロードを起動する形式で行われる。攻撃者は検出を回避するために、キャンペーンごとに初期のメール添付ファイルの形式を変更している。
StrelaStealerは、2022年11月に初めて公表され、メールクライアントからのメールログインデータを盗み出し、攻撃者制御下のサーバーに送信する能力を持つ。2023年11月と2024年1月には、このマルウェアを利用した2つの大規模キャンペーンが検出され、EUと米国の高技術、金融、専門および法律、製造、政府、エネルギー、保険、建設セクターが標的とされた。これらの攻撃では、請求書をテーマにしたメールがZIP添付ファイルを介して新しいバリアントのスティーラーを配布し、以前はISOファイルからZIPファイルへと変更された。ZIPアーカイブ内にはJavaScriptファイルが含まれ、これがバッチファイルをドロップし、rundll32.exeを使用してスティーラーDLLペイロードを起動する。
また、Broadcom傘下のSymantecは、GitHub、Mega、Dropboxにホストされた有名なアプリケーションやクラックされたソフトウェアの偽のインストーラーが、Stealcと呼ばれるスティーラーマルウェアの伝播手段となっていることを明らかにした。フィッシングキャンペーンはRevenge RATやRemcos RAT(Rescomsとも呼ばれる)も配布しており、後者はAceCryptorと呼ばれるcryptors-as-a-service(CaaS)を介して配布されている。ESETによると、2023年後半には、RescomsがAceCryptorによってパックされた最も普及したマルウェアファミリーとなった。ポーランド、セルビア、スペイン、ブルガリア、スロバキアでこれらの試みの半数以上が発生している。
【ニュース解説】
サイバーセキュリティの研究者たちは、StrelaStealerと呼ばれる情報窃取型マルウェアを配布するための新たなフィッシング攻撃の波を検出しました。この攻撃は、EUと米国にある100以上の組織を対象にしています。攻撃者は、スパムメールの添付ファイルを通じて、StrelaStealerのDLLペイロードを起動する手法を用いています。これらの攻撃は、攻撃者が検出を回避するために、キャンペーンごとにメール添付ファイルの形式を変更することで特徴づけられます。
StrelaStealerは、メールクライアントからメールログインデータを盗み出し、攻撃者が制御するサーバーに送信する能力を持っています。このマルウェアは、2022年11月に初めて公表されて以来、特に高技術、金融、専門および法律、製造、政府、エネルギー、保険、建設セクターを標的にした大規模なキャンペーンが検出されています。
これらの攻撃は、請求書をテーマにしたメールを介して新しいバリアントのスティーラーを配布しており、以前はISOファイルからZIPファイルへと変更されました。ZIPアーカイブ内に含まれるJavaScriptファイルがバッチファイルをドロップし、rundll32.exeを使用してスティーラーDLLペイロードを起動します。この手法は、マルウェアの分析を困難にするための様々な難読化技術に依存しています。
さらに、Broadcom傘下のSymantecは、GitHub、Mega、Dropboxにホストされた有名なアプリケーションやクラックされたソフトウェアの偽のインストーラーが、別のスティーラーマルウェアであるStealcの伝播手段となっていることを明らかにしました。フィッシングキャンペーンは、Revenge RATやRemcos RAT(Rescomsとも呼ばれる)も配布しており、これらはAceCryptorというサービスを介して配布されています。
このような攻撃の増加は、組織や個人がサイバーセキュリティに対する警戒を強める必要があることを示しています。特に、メールを通じた攻撃は、ユーザーが添付ファイルやリンクを開く前に、その正当性を慎重に検討することが重要です。また、組織は、従業員に対するサイバーセキュリティ教育を強化し、不審なメールの報告プロトコルを確立することで、この種の攻撃から保護することができます。
from New StrelaStealer Phishing Attacks Hit Over 100 Organizations in E.U. and U.S..
