Fake copyright infringement emails install LockBit ransomware
2022/06/26 BleepingComputer — LockBit ランサムウェアのアフィリエイトは、標的に対して著作権違反を主張することで、そのデバイスにマルウェアを感染させるという、興味深いトリックを使用している。これらのマルウェアを送りつけられる電子メールの受信者は、クリエイターのライセンス承諾なしにメディアファイルを使用したと主張され、著作権侵害について警告される。一連のメールの文面には、受信者の Web サイトから侵害コンテンツを削除するか、法的措置に対処することを要求している。
韓国 AhnLab のアナリストたちが発見したメールの本文では、不当に使用されたと主張するファイルを断定していないという。その上で、添付ファイルをダウンロードして開き、侵害内容を確認するよう、受信者に指示している。
.png)
その添付ファイルは、パスワードで保護された ZIP アーカイブであり、その中に PDF 文書に見せかけた実行ファイルがあり、実際は NSIS (Nullsoft Scriptable Install System) のインストーラーとなっている。このようなラッピングを行い、パスワードで保護する理由は、電子メール・セキュリティ・ツールによる検出を回避するためだ。被害者の心理としては、どのような画像が違法なのかを知りたくなる。そして、PDF とされるものを開くと、マルウェアがロードされ、ランサムウェア LockBit 2.0 によるデバイスが暗号化が始まる。
著作権侵害の主張とマルウェア
著作権侵害の主張を利用するのは興味深いことだが、多くのマルウェア配布キャンペーンが同じ誘い文句を使用しているため、斬新でもなければ、LockBit に限ったことでもない。このところ、BleepingComputer も、この種のメールを数多く受け取っている。それらを分析したところ、BazarLoader/Bumblebee マルウェア・ローダーを配布していることが判明した。
.png)
Source: BleepingComputer
Bumblebee は、セカンド・ステージのための、ランサムウェア・ペイロード配信に使用されるため、それらのファイルが開かれたコンピュータは、迅速かつ破滅的な攻撃を受ける可能性がある。著作権に関するクレームは、コンテンツの発行者が真剣に考慮すべき問題だが、クレームがストレートではなく、違反の詳細を確認するために添付ファイルを開くことが要求される場合には、それが本物のテイクダウン通知である可能性は低いだろう。
トップは LockBit
今日、NCC Group 発表した Monthly Threat Pulse – May 2022 レポートによると、同月に報告された全ランサムウェア攻撃 (236件) の40% を LockBit 2.0 が占めている。
Victims listed by each ransomware operation in May 2022 (NCC Group)
このランサムウェアは、5月だけで 95件もの被害者を記録したが、Conti/BlackBasta/Hive/BlackCat に関しては、合計で 65件だった。Intel 471 が、2021年 Q4 に最も多く発生したランサムウェアのトップに、LockBit 2.0を据えていたが、その傾向が継続している。このグループの存在は、最も広範な脅威の1つとして認識され続けている。
ブログなどで用いられる、さまざまなイメージ・ファイルですが、文字だけだと感じられる重さを、取り除くために用いられるものもあります。そのような背景から、著作権侵害を主張するフィッシングに引っかかってしまう、被害者の心境も分かります。この IoT OT Sec News でも、いつも考えることですが、 たとえば、この記事にあるような、スクリーン・キャプチャやチャート (テキストを補足するもの) などであれば、出典先を明記した上で、乗せるようにしています。ただ、クリエイターが、明らかに関与していると思われるものについては、元記事にあったとしても除外するという方針で対応しています。
IoT OT Security News 
You must be logged in to post a comment.