Qbot Banking Trojan Increasingly Delivered Via Business Emails
2023/04/17 InfoSecurity — 偽のビジネス・メールを用いる悪質なキャンペーンにより、QBot (Qakbot) ファミリーのバンキング型トロイの木馬を拡散するというトレンドが確認されている。Kaspersky のセキュリティ研究者たちにより発見された、この悪質なスパム・キャンペーンは、英語/ドイツ語/イタリア語/フランス語などの各言語で書かれたメッセージを使用している。今日のアドバイザリで、同社は、「このメッセージは、攻撃者が入手した実際のビジネスレターに基づいており、彼らのメッセージが通信スレッドに入り込んでいた」と述べている。
Kaspersky のセキュリティ専門家である、Victoria Vlasova/Andrey Kovtun/Darya Ivanova の投稿では、「それらのメールは、通常、宛先に添付された PDF ファイルを開くよう促す」と説明されている。
研究者たちは、「このようなビジネス文書のシミュレーションは、スパムの追跡を妨害し、被害者を騙す可能性が高くなる。信憑性を高めるために、攻撃者は前の手紙の送信者の名前を「From」フィールドに入れる。しかし、実際の通信相手のものとは異なる、送信者の不正な電子メールアドレスが残っている」と説明している。
メールに添付されたファイルをクリックすると、リモート・サーバから添付ファイルがダウンロードされるが、元の PDF ファイルで用いられるパスワードで保護されている。しかし、このダウンロードされたアーカイブには、難読化された JScript スクリプトを取り込んだ、WSF (Windows Script File) ファイルが含まれている。
研究者たちは、「この WSF ファイルの難読化が解除された後に、真のペイロードが明らかになるが、それは Base64 ラインにエンコードされた PowerShell スクリプトである。つまり、このアーカイブから WSF ファイルが開かれた直後に、PowerShell スクリプトは目立たないようにコンピュータ上で実行され、リモート・サーバから DLL ファイルをダウンロードするために wget を使用する」と付け加えている。
Kaspersky は、「新たに観測されたトロイの木馬の亜種は、以前に観測されたものと大きな違いはない」と述べている。
以前と同様に、このボットにより、ブラウザからパスワードとクッキーが抽出され、ボックス内のメールが盗まれ、トラフィックが傍受され、感染したシステムへのリモートアクセスが脅威アクターに与えられる」と指摘している。
一部の亜種は、CobaltStrike (企業ネットワーク全体に感染を広げる) やランサムウェアなどの、追加のマルウェア・ツールをダウンロードできる。また、一部の Qbot のバージョンは、被害者のコンピュータをプロキシサーバに変えて、トラフィックのリダイレクトを促進することを、Kaspersky は確認している。
最新の Qbot キャンペーンは、主にドイツ (28.01%)/アルゼンチン (9.78%)/イタリア (9.58%) のユーザーをターゲットにしている。2022年12月に、Qbot は Emotet を追い抜き、野放し状態で悪用されるマルウェアになった。ただし、それから数ヶ月が経ち、Check Point のリストでは、Emotet がトップの座を奪還している。
このキャンペーンは、マルウェアであり、スパムであり、フィッシングであり、かなり BEC に近いという、新たな領域で攻撃を仕掛けているのでしょうか。なんとなく、そんな感じがします。よろしければ、QBot で検索と、Emotet で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.