The Hacker Newsは7月30日(現地時間)、「OneDrive Phishing Scam Tricks Users into Running Malicious PowerShell Script」において、複数のセキュリティベンダーがフィッシングキャンペーンの最新情報を公開したとして、注意を呼びかけた。これらキャンペーンにはMicrosoftユーザーを標的にする共通点があるという。

  • OneDrive Phishing Scam Tricks Users into Running Malicious PowerShell Script

    OneDrive Phishing Scam Tricks Users into Running Malicious PowerShell Script

Microsoft OneDriveの悪用

Trellixは7月29日(米国時間)、「OneDrive Pastejacking」において、Microsoft OneDriveユーザーを標的とする高度なフィッシングキャンペーンを発見したと報じた。この攻撃ではソーシャルエンジニアリング手法を使用して、ユーザーにPowerShellスクリプトを実行させるという。

このキャンペーンでは、最初にHTMLファイルを添付したフィッシングメールが使用される。ユーザーがHTMLファイルを表示すると、Microsoft OneDriveのWebページによく似た偽のOneDriveエラー画面が表示される。OneDriveへのアクセス時にエラーが発生したと勘違いしたユーザーが「How to fix」ボタンを押すと、偽の修復手順が表示される。

  • Microsoft OneDriveに似た偽のWebページ - 引用:Trellix

    Microsoft OneDriveに似た偽のWebページ 引用:Trellix

ユーザーが手順に従い操作を行うと、PowerShellから悪意のあるスクリプトが実行され、最終的にAutoItスクリプトが実行される。TrellixはAutoItスクリプトがどのような機能を持つか詳細を明らかにしていないが、システムを危険にさらすことになると指摘している。

Microsoft Formsの悪用

Perception Pointは7月25日(現地時間)、「Two-Step Phishing Campaign Exploits Microsoft Office Forms」において、Microsoft Office 365のMicrosoft Formsを悪用するフィッシングキャンペーンの攻撃手法を伝えた。標的になったユーザーは、Office 365の認証情報を窃取される可能性がある。

  • Microsoft Formsを悪用した2段階フィッシングキャンペーンの攻撃手順 - 引用:Perception Point

    Microsoft Formsを悪用した2段階フィッシングキャンペーンの攻撃手順 引用:Perception Point

このキャンペーンでは、最初にMicrosoft Formsへのリンクを含むフィッシングメールを送信する。リンクにアクセスすると正規のアンケートが表示され回答を求められる。このアンケートにはフィッシングサイトへのリンクが記載されており、アクセスすると偽のログインページが表示され、ログインを試みたユーザーの認証情報が窃取される。

Microsoft Outlookの挙動を悪用

Cofenseは7月24日(米国時間)、「Malware Exploit Bypasses SEGs Leaving Organizations at Risk」において、Secure Email Gatewayの検出を回避してMicrosoft Outlookユーザーを標的にするフィッシングキャンペーンの攻撃手法を伝えた。

このキャンペーンでは、故意に破損させたZIPアーカイブをメールに添付する手法が使用される。ZIPアーカイブにはファイル情報(ローカルファイルヘッダー)とディレクトリ情報(セントラルディレクトリエントリー)が埋め込まれており、ファイル名はそれぞれに保存されている。攻撃者はその一方のファイル名を変更し、Microsoft Outlook経由のエクスプローラーで表示した場合にHTMLファイルを表示させる。

  • エクスプローラーだけがHTMLファイルを認識している画面 - 引用:Cofense

    エクスプローラーだけがHTMLファイルを認識している画面 引用:Cofense

この手法を使用するとSecure Email GatewayはZIPアーカイブ内のHTMLファイルを検出できず、メールの配送をブロックできない可能性が高くなる。ユーザーがHTMLファイルを開くと、追加のZIPアーカイブを介してマルウェアローダー「DBatLoader」が展開される。DBatLoaderが実行されると、最終的に情報窃取マルウェア「FormBook」が実行される。

対策

これらフィッシングキャンペーンでは、いずれも最初にメールを用いる。攻撃者はユーザーやセキュリティソリューションをだまし、リンクや添付ファイルにアクセスさせようとする。このような攻撃を回避するため、企業や組織には従業員にこれら攻撃手法を教育し、不審なメールのリンクおよび添付ファイルの取り扱いについてトレーニングさせることが望まれている。