偽のFileZillaダウンロードがRATを配布
攻撃者は、偽のFileZillaダウンロードページを設置し、Remote Access Trojan (RAT) を配布しています。このマルウェアは、ユーザーが通常のインストーラーとして認識し、実行するまでに気づかれません。
偽サイトの詳細
攻撃者は、公式のFileZillaダウンロードページを模倣した偽サイトを設置しています。ユーザーが「FileZilla download」と検索し、スポンサードリンクや悪意のあるリンクをクリックすると、この偽サイトに到達する可能性があります。
マルウェアの配布方法
マルウェアは、以下の2つの形式で配布されています。
- 圧縮アーカイブ:ポータブル版のFileZillaと悪意のあるDLLが含まれています。
- 単一の実行ファイル:正当なインストーラーと悪意のあるライブラリがバンドルされています。
マルウェアの動作
悪意のあるDLLは、最初のローダーとして機能し、後続のローダー段階をメモリ内でデコードして実行します。各段階では、仮想マシンやサンドボックスツールの存在をチェックし、必要に応じて挙動を変更します。
コマンド&コントロール(C2)
マルウェアは、DNS-over-HTTPS (DoH) を使用してコマンド&コントロールサーバーと通信します。これにより、ネットワークベースでの検出が困難になります。
防御策
ユーザーは、公式のプロジェクトドメインからFileZillaをダウンロードし、検索広告やサードパーティのミラーサイトからのダウンロードを避けるべきです。組織は、アプリケーション制御を強化し、不正なインストーラーをブロックし、不審なDLLを監視する必要があります。
まとめ
攻撃者は、ユーザーの信頼を武器として利用しています。ユーザーと組織は、適切な防御策を講じることで、このような攻撃から身を守ることができます。