アバストでは、AdobeやDocHubになりすまし、署名を要求する悪質なメールを確認しています。
「確認して署名」ボタンをクリックするとAdobeのサーバー「eu1.documents.adobe.com/public/」でホストされている文書に誘導されます。この文書にはリンクが含まれており、署名する前にリンク先の内容を確認するよう促されます。標的がリンクをクリックすると、別のウェブサイトに誘導され、CAPTCHAを入力するよう要求されます。
-1.png?width=440&height=499&name=pasted%20image%200%20(1)-1.png)
入力後、ZIPファイルをダウンロードするよう指示されます。しかしこのファイルには、パスワードや暗号通貨ウォレットなどを盗むトロイの木馬マルウェア「Redline Trojan」が含まれているのです。
上記の例では、数十万人の登録者を有するYouTubeチャンネルを運営している人が狙われました。メール文を見ると、YouTuberが関心を惹くような内容になっていることがわかります。幸いなことに、標的はこのメールを怪しいと思い、リンクをクリックしませんでした。
しかし数日後、標的は再び同じようなメールを受信しました。今回のメールは、標的がリンクをクリックする確率を上げるため、リンクが2回記載されていました。
-1.png?width=440&height=998&name=pasted%20image%200%20(2)-1.png)
リンクをクリックすると、以下のページに飛びます。
-1.png?width=440&height=618&name=pasted%20image%200%20(3)-1.png)
このページは、別の電子サインサービス会社DocHubがホストになっています。しかし、「確認して署名」ボタンをクリックすると、Adobeのサイトに移動し、同じ文書が表示されます。
.png?width=440&height=751&name=pasted%20image%200%20(4).png)
DocHubとAdobeの文書は両方ともリンクが含まれており、クリックするとCAPTCHAを入力するよう促されます。
入力すると、ZIPファイルのダウンロードを促され、ダウンロードされるファイルにはRedline Trojanの変種が含まれています。さらに、「Grand Theft Auto V」ゲームに属する悪質ではない実行ファイルもいくつか含まれていました。
今回の攻撃で使用されているRedline Trojanマルウェア、およびその変種の特徴として、ファイルサイズが400MB以上に拡大されていることが挙げられます。ダウンロードが実施される時点では、ファイルは圧縮されており、被害者が気が付かないようにされています。なぜサイバー犯罪者がマルウェアのサイズを拡大しているのかは不明ですが、おそらく、ファイルサイズによって異なるセキュリティ対策を回避するためと考えられます。
今回確認されたようなマルウェアの配布方法は、特定の人を標的とした、新たな攻撃手法です。アバスト脅威研究所はほかに、この手法を活用した攻撃は検出していませんが、さまざまなマルウェア対策を回避できる可能性があるため、サイバー犯罪者にとって人気のある攻撃方法になることを懸念しています。アバストはすでにAdobeとDocHubの両社に連絡し、すべての情報を共有しています。
知らない人からメールを受信した場合、メール内のリンクはクリックしないでください。
メールを介してリンクが送られてきたら、リンクをクリックする前に送信元に連絡し、なぜそのリンクを送ったのか、そのリンクが正当なものか、確認しましょう。
ウイルス対策ソフトをインストールしておきましょう。
この記事は、2023年3月15日に公開された(Ab)using Adobe Acrobat Sign to distribute malwareの抄訳です。
1988 - 2024 Copyright © Avast Software s.r.o. | Sitemap プライバシーに関する方針
