DDoS 容疑という脅し文句で BazaLoader マルウェアを配信する手口

Fake DMCA complaints, DDoS threats lead to BazaLoader malware

2021/08/27 BleepingComputer — BazaLoader マルウェアを操るサイバー犯罪者は、Web サイトの所有者を騙して悪意のファイルを開かせるための、新たな手口を編み出した。それは、あなたのサイトが分散型サービス拒否 (DDoS) 攻撃を受けているという偽の通知だ。そのメッセージには、法的な脅しと、Google Driveの フォルダに保存されている、攻撃元の証拠となるファイルが含まれているようだ。

偽の法的脅威

この DDoS というテーマは、他のルアーのバリエーションであり、Digital Millennium Copyright Act (DMCA) からの苦情を装うルアーには、画像の盗難に関する証拠が含まれていると主張する、ファイルへのリンクが含まれている。BleepingComputer が確認した提出書類では、脅迫者は Firebase の URL を使ってBazaLoader をプッシュしていた。

しかし、目的は同じだ。コンタクトフォームを利用して BazaLoader マルウェアを配信し、データ窃取やランサムウェア攻撃につながる、Cobalt Strike をドロップするケースが多い。この4月に Microsoft は、サイバー犯罪者が IcedID マルウェアを配信した際に、この配信方法について警告していた。最近のキャンペーンは似ているが、ペイロードとおびき寄せの方法が変わっただけだ。

先週のこと、Web サイト開発者兼デザイナーの Brian Johnson は、大手企業 (Intuit / Hubspot) にする DDoS 攻撃を目的とするために、彼の顧客の Web サイトがハッキングされたという、法的通知を受け取ったことをポストした。この送信者は受信者に対して、DDoS 攻撃を展開する悪意のファイルを、Web サイトから直ちに削除しない限り、法的措置を取ると脅していた。

この偽の通知には、「攻撃が [example.com]か ら行われていることを示す証拠を記録したログファイルを共有し、また、当社のネットワークに対する脅威を根絶するために、すべての悪意のファイルを見つけ出し、安全に処理するための、手動でクリーンアップする方法の詳細なガイドラインを示した」と書かれている。また、この通知には、DDoS 攻撃の証拠と、その発生源を示す、Google Drive 上のファイルへのリンクが含まれていた。

Proofpoint のセキュリティ研究者である Matthew Mesa は、これらのメッセージは Web サイトの問い合わせフォームから送信され、Google サイトでホストされている BazaLoader マルウェアを配信すると、ツイートで指摘している。また、同研究員によると、このルアーは、やはり Web サイトのコンタクト・フォームを介して送信された、著作権侵害のテーマのバリエーションであるとのことだ。

BleepingComputer では、この数ヶ月の間に、所有者の同意を得ずに画像を使用したと申し立てる、この種の侵害通知をいくつか受け取っている。このときのメッセージには、無断で使用された画像をリストアップしたと主張するファイルへのリンクが記載されていた。また、データに関しては、Google のクラウド・ストレージ Firebase に格納されていた。また、緊急性の高いものに見せかけるために、Web サイトの所有者は $120,000 もの法定損害賠償責任を負う可能性があると述べている。しかし、これら全ては、マルウェアを配信するための策略だ。

マルウェア分析者である Brad Duncan が、このファイルを調べたところ、ZIP アーカイブに JavaScript が含まれており、そこから BazaLoader DLL を取得する仕掛けになっていた。この DLL は、TrickBot グループのバックドアであり、通常はランサムウェア感染へとつながっていく。さらに、このマルウェアは、C2 (command and control) サーバーと通信し、持続性の維持やペイロード配信に広く悪用されている、ペネトレーション・テスト・ツールである Cobalt Strike を取得する。いくつかのサンプルに見られるように、この通知はかなり説得力があり、コンタクト・フォーム・メールという正当性を利用しているため、メール・セキュリティ・ソリューションから、Safe マークを受け取る可能性が高くなる。悪意の兆候 (不完全な連絡先情報、不正確な文法、不審なリンク) を見つけ出す努力は、この種のソーシャル・エンジニアリングの罠に陥らないための良い方法である。

いろいろと考えるものですね。とにかく、「ターゲットを焦らせる」というのが、この手の犯罪の常套手段です。このブログでは、BazaLoader は初登場ですが、8月は Conti / LockFile / LockBit / eCh0raix / BlackMatter などが暴れていたようです。よろしければ、カテゴリ Ransomware をご参照ください。また、「RaaS (Ransomware-as-a-Service) のエコシステムを解析する」もお薦めです。

%d bloggers like this: