Netskopeは3月15日(米国時間)、「From Delivery To Execution: An Evasive Azorult Campaign Smuggled Through Google Sites - Netskope」において、HTMLスマグリングを悪用して情報窃取マルウェア「AZORult」を配布するサイバー攻撃のキャンペーンを発見したと報じた。
マルウェアの感染経路
このキャンペーンではGoogleドキュメント上に悪意のあるWebサイトを構築し、ユーザーにGoogleの提供するコンテンツという安心感を与える手法が用いられている。また、セキュリティソフトによる自動検出を避けるためにCaptchaを使用する。
Captchaによる人間確認をパスすると、JavaScriptを使用してリモートからBase64エンコードされたURLを取得し、アンカータグを生成する。次にclick()メソッドを使用してアンカータグのクリックをシミュレートし、悪意のあるショートカットファイルのダウンロードを自動的に開始する。
悪意のあるショートカットファイルはPDFファイルのアイコンを使用しているため、拡張子を確認しないとPDFファイルをダウンロードしたように見える。このショートカットファイルを実行すると、Base64エンコードされたPowerShellコマンドがデコードされ保存される。そして、タスクスケジューラーにこのPowerShellコマンドの実行を登録する。その後さらにいくつかの手順を踏み、マルウェア対策スキャンインタフェース(AMSI: Anti-Malware Scan Interface)などをバイパスして最終的にマルウェア「AZORult」をダウンロード、実行する。
影響と対策
マルウェア「AZORult」はドキュメント、暗号資産ウォレット、資格情報、ブラウザデータ、スクリーンショットなどを窃取するとされる。このマルウェアの配布にはセキュリティソフトを回避するためにさまざまな技術が使用されており、防御は難しいとみられている。そのため、最初のショートカットファイルのダウンロードまたはその実行を回避することが重要となる。
Netskopeは今回のキャンペーンにおいて、ユーザーをGoogleドキュメントへ誘導した方法を明らかにしていないが、フィッシング攻撃またはソーシャルエンジニアリング攻撃により誘導されたと推測されるため、これら攻撃に注意することが推奨される。また、Googleドキュメント上のコンテンツおよびファイルは安全でないことを認識し、ダウンロードしたファイルが偽装されていないかプロパティや拡張子を確認することも推奨される。
Netskopeは調査において判明したセキュリティ侵害インジケーター(IoC: Indicator of Compromise)を「NetskopeThreatLabsIOCs/Malware/Azorult/IOCs at main · netskopeoss/NetskopeThreatLabsIOCs · GitHub」にて公開しており、必要に応じて活用することが望まれている。