サイバーニュース.jp

世界のサイバーなニュースを配信

新種の「ポイント&クリック」型フィッシングキットがセキュリティフィルターを回避し、悪意のあるペイロードを配信

カテゴリ:

, , , , , , , , ,

「Impact Solutions」の登場:高度なフィッシングキャンペーンを容易に

サイバー犯罪フォーラムに、高度なフィッシングキャンペーンを構築するための包括的でユーザーフレンドリーなツールキット「Impact Solutions」が登場しました。このツールキットはマルウェア配信を民主化し、スキルが低い攻撃者でもエンドユーザーや従来のセキュリティフィルターを迂回し、一見無害な添付ファイルを介して悪意のあるペイロードを配信することを可能にします。本記事では、Impact Solutionsの仕組み、それが可能にするソーシャルエンジニアリング戦術、そして組織がこれらの攻撃を大規模に阻止するために採用できる防御策について探ります。

Impact Solutionsの仕組み

Impact Solutionsは、武器化されたファイルの作成を自動化するオールインワンのペイロード配信プラットフォームとして宣伝されています。レポートによると、ポイント&クリックインターフェースにより、攻撃者はコーディングの専門知識なしに様々な悪意のある添付ファイルを生成できます。主なモジュールには以下が含まれます:

  • 正規のドキュメントを装うWindowsショートカット(.lnk)添付ファイル。
  • HTMLスミッシング攻撃用の自己完結型HTMLファイル。
  • 埋め込みスクリプトを含む悪意のあるSVG画像。
  • Windowsの「Win+R」(Clickfix)実行ダイアログのトリックを悪用するペイロード。

特に、.lnkビルダーは非常に洗練されています。攻撃者は、PDF請求書などのデコイファイルを選択し、それを表示アイコンとして割り当てますが、ショートカットは密かに実行可能なペイロードを指しています。クリックすると、ツールキットはバックグラウンドで隠されたダウンローダーを起動し、同時に本物のPDFを開くため、被害者はマルウェアのインストールに気づきません。追加機能には、リモートサーバーからセカンダリマルウェアを取得するステージ型ペイロードや、ユーザーアカウント制御(UAC)プロンプトをバイパスし、仮想マシンを検出し、サンドボックス分析を回避するための組み込み技術が含まれます。開発者は、Impact Solutionsがコード署名証明書を必要とせずにMicrosoft SmartScreenやほとんどのアンチウイルスエンジンをすり抜けることができると豪語しています。

ソーシャルエンジニアリングの誘惑

Impact Solutionsの真の強みは、そのソーシャルエンジニアリング能力にあります。メールテンプレートは、未払い請求書、発注書、クラウドサービス通知など、おなじみのビジネステーマを中心に構成されており、ソフトウェアの脆弱性ではなく人間の信頼を悪用するように設計されています。あるシナリオでは、受信者が「Invoice12345.pdf」という添付ファイルを受け取りますが、これは実際には.lnkファイルです。開くと、ショートカットは静かにマルウェアをユーザーのAppDataフォルダーにダウンロードするコマンドを実行し、その後ダミーの請求書ドキュメントを表示して正当性の錯覚を維持します。

Impact Solutionsは、多段階のHTML攻撃も提供しています。攻撃者は「安全な請求書ビューア」HTMLファイルをメールで送り、被害者にボタンをクリックして請求書を表示するように促します。舞台裏では、ページはfile://パスを介してペイロードを起動するか、ユーザーにブラウザ設定を有効にするよう指示し、通常の許可要求を装ってマルウェアの実行をトリガーします。別のテンプレートは、おなじみのCloudflareの「ブラウザを確認しています」画面を偽装し、ユーザーにWin+Rを押してコードを貼り付けるよう指示します。ユーザーが知らないうちに、ページはすでにBase64エンコードされたPowerShellコマンドをクリップボードにコピーしており、貼り付けられると実行されます。これらの欺瞞的なフローは、信頼されたブランドと明確な指示に依存して、非技術的なユーザーを自身の侵害を開始するように仕向けます。

行動AIが高度なソーシャルエンジニアリングを阻止する方法

Impact Solutionsのようなキットに対しては、従来のシグネチャベースの防御はますます効果が薄れています。これらのキットはペイロードを継続的に変化させ、アイコンの偽装やサンドボックス回避の背後に隠れるためです。対照的に、行動AIプラットフォームは、ファイルシグネチャではなく、通信パターンやコンテキストの異常を検出することに焦点を当てています。例えば、Abnormal SecurityのAIエンジンは、組織の通常のメール行動(送信者との関係、書き方、一般的な添付ファイルの種類)を学習し、ソーシャルエンジニアリング攻撃を示す逸脱をフラグ付けします。新しい送信者からの「請求書」添付ファイルの突然の流入や、Win+Rを介してファイルを異常に実行する要求は、有害なペイロードが従業員に到達する前に自動隔離をトリガーする可能性があります。

フィッシングキットがよりアクセスしやすく、洗練されるにつれて、組織は防御を反応的なシグネチャ更新からプロアクティブな行動分析へと移行する必要があります。人間中心の戦術を理解し、新しい攻撃ベクトルに適応するAIを展開することで、セキュリティチームはImpact Solutionsスタイルのキャンペーンを阻止し、進化し続ける脅威の状況からユーザーを保護することができます。

元記事: https://gbhackers.com/point-and-click-phishing/

投稿をさらに読み込む