偽の著作権侵害連絡

ある日あなたの会社に著作権侵害のメールが届きます。
今度は著作権侵害です。
今回も手が込んでいます。

• 攻撃対象の会社の問い合わせフォームで攻撃者はメッセージを送信します。
• メールはその企業の担当者に、 自社システムの問い合わせフォームからのメールとして届きます。
• そのメールは著作権侵害の内容となっていて、強い口調で証跡のファイルを確認するように迫ります。
• その証跡のファイルはsites.google.comへのリンクとなっています。
• sites.google.comのリンクをクリックするとgoogleの認証情報の入力を促されます。
  これにより、問題検出のシステムとしては、より問題を検出しにくくなります。
• 認証が通ると、難読化されたJavaScriptが含まれるZIPファイルがダウンロードされます。
• このJavaScriptはWScript経由で実行され、PowerShellが起動され、暗号化済みIcedIDをダウンロードします。
• 別のDLLローダーをもってきて、IceIDの入ったファイルを復号化しロードします。
• リモート制御環境が出来上がります。

リモート制御環境が手に入るといろいろとできることが増えます。
周辺の機器の発見やPCのアンチウイルスの確認など、おなじみの情報収集を繰り広げます。

こんな風に問い合わせフォームからの苦情の体で届けられる攻撃のファイルなら、開いてしまう人も多いかもしれませんね。
次から次へとよく考えつくものです。

参考記事（外部リンク）：Investigating a unique “form” of email delivery for IcedID malware
www.microsoft.com/security/blog/2021/04/09/investigating-a-unique-form-of-email-delivery-for-icedid-malware/