攻撃者のトークスクリプト
トークスクリプトってご存じですか?
商品の売り込みをかけたい時などのために作成したりする、説明の流れのようなものや想定問答集などだと思います。
2020年から活動が観測されているマルウェアのなかにBazarLoaderというものがあります。
このBazarLoaderを使う攻撃者のトークスクリプトが明らかになっています。
BazarLoaderは名前の通り、他のマルウェアを攻撃先のPCに展開する動きをしますので、とにかくそのPCの利用者に攻撃の足掛かりとなるソフトウェアを実行してもらう必要があります。
その実行させるものはExcelのマクロを含む文書です。
攻撃者が被害者にマクロを実行させるまでの流れが公開されています。
ここで取り上げるパターンは、コールセンター作戦です。
ざっくりした流れは次の通りです。
- 潜在的な被害者に電話番号への電話を促す
購読型のサービス(サブスクリプション型のサービス)のトライアルに関連するメールを使います。 - 身に覚えのない被害者は、コールセンターに電話する
このコールセンターの応答者は攻撃者です。 - コールセンターの担当者は被害者の身に覚えのない購読を解除するための方法を詳しく手ほどきする
- その手順にそっていくと、マクロについたExcel文書を開くタイミングが来る
- コールセンター担当者はマクロ実行を可能な状態にすることを促す
- 対応完了
コールセンターの担当者は対応完了を告げます。
担当者は自分の名前を名乗り、次に問い合わせの際には自分の名前を知らせるように言います。
実にうまく構成されています。
潜在的な被害者は、被害者となりました。
無事そのPCではBazarLoaderが活動を開始します。
詳細な会話のやり取りについては参考記事に詳細があります。
是非確認してみてください。よくできています。
はたして、あなたやあなたの家族は、この流れの中で問題にきっちりと気がつき、感染に至ることを免れることができるでしょうか。
参考記事(外部リンク):BazarCall Method: Call Centers Help Spread BazarLoader
Malware
unit42.paloaltonetworks.com/bazarloader-malware/
