サイバーニュース.jp

世界のサイバーなニュースを配信

フェイクのLastPass、Bitwarden侵害警告がPC乗っ取りに繋がる

カテゴリ:

, , , , , , , , ,

偽のパスワードマネージャー侵害警告が新たな脅威に

現在、LastPassおよびBitwardenのユーザーを標的とした巧妙なフィッシングキャンペーンが展開されています。このキャンペーンでは、両社がハッキングされたと偽るメールが送られ、ユーザーに「より安全なデスクトップ版」のパスワードマネージャーをダウンロードするよう促しています。

BleepingComputerの調査によると、これらのメールからダウンロードされるバイナリは、リモート監視・管理(RMM)ツールであるSyncroをインストールします。さらに、攻撃者はSyncro MSPプログラムを利用して、リモートサポートおよびアクセスソフトウェアであるScreenConnectを展開し、標的のPCを乗っ取ることを可能にしています。

巧妙なソーシャルエンジニアリングの手口

LastPassは今週、同社がサイバーセキュリティインシデントに遭遇していないことを明確にし、これらのメッセージが悪意のあるアクターによるソーシャルエンジニアリングの試みであると警告しました。LastPassによると、このキャンペーンはコロンブスデーの週末に開始され、人員が手薄になる時期を狙って検出を遅らせようとした可能性があります。

フィッシングメールは非常に巧妙に作成されており、「古い.exe形式」の脆弱性を悪用し、キャッシュされた保管庫データへの不正アクセスを許す可能性があると主張しています。偽のセキュリティ警告には、「攻撃者は古い.exeインストールの脆弱性を悪用し、特定の条件下でキャッシュされた保管庫データへの不正アクセスを許可する可能性があった」と記載されています。

LastPassを装った偽のメールは、主に以下の送信元から送られています:

  • hello@lastpasspulse[.]blog
  • hello@lastpasjournal[.]blog

同様に、Bitwardenユーザーも標的とされており、hello@bitwardenbroadcast.blogからのメールが確認されています。これらのメールは、緊急性を煽り、改善されたデスクトップアプリケーションのダウンロードリンクをクリックさせることを目的としています。

リモートアクセスツールの悪用とセキュリティ対策の無効化

BleepingComputerが回収したバイナリサンプルは、LastPassとBitwardenのユーザーを標的としたもので、機能的には同一であることが判明しました。マルウェアはSyncro MSPプラットフォームエージェントをインストールしますが、そのシステムトレイアイコンを隠すように設定されており、ユーザーが新しいツールの存在に気づかないようにしています。

Syncroの主な目的は、ScreenConnectサポートツールを「持ち込み型」インストーラーとして展開し、攻撃者にエンドポイントへのリモートアクセスを付与することです。抽出された設定ファイルからは、エージェントが90秒ごとにサーバーと通信していることが示されています。また、この設定では、Emsisoft、Webroot、Bitdefenderといったセキュリティエージェントが無効化されており、セキュリティソリューションを回避する意図が明らかです。

ScreenConnectがデバイスにインストールされると、脅威アクターはリモートでターゲットのコンピューターに接続し、さらなるマルウェアペイロードを展開したり、データを盗んだり、保存された認証情報を介してユーザーのパスワード保管庫にアクセスしたりする可能性があります。

1Passwordユーザーも標的に

先週には、別のキャンペーンが1Passwordユーザーを標的とし、アカウントが侵害されたという偽の警告メールを送っていました。この活動の指標は、メッセージの文言やランディングURL、送信元アドレス(watchtower@eightninety[.]com)など、今回のキャンペーンとは異なっていました。

Malwarebytesの研究者によると、埋め込みボタンをクリックしたユーザーは、Mandrillappのリダイレクトを介してフィッシングページ(onepass-word[.]com)に誘導されました。この1Passwordを標的とした攻撃は、9月25日にBrett Christensen(Hoax-Slayer)によって最初に報告されています。

ユーザーへの重要なアドバイス

パスワード管理ツールのユーザーは、このような警告を常に無視し、必ずプロバイダーの公式ウェブサイトにログインして、保留中のセキュリティ警告がないか確認する必要があります。このような重要なセキュリティインシデントは、通常、企業のブログやプレスリリースを通じて広く伝えられるため、公式チャネルで二重に確認することが常に良い習慣です。

また、企業がパスワード保管庫のマスターパスワードを要求することは決してないということを覚えておくことが重要です。

元記事: https://www.bleepingcomputer.com/news/security/fake-lastpass-bitwarden-breach-alerts-lead-to-pc-hijacks/

投稿をさらに読み込む