スペイン語を駆使する者を狙うフィッシングキャンペーン、 AgentTesla を配布する

セキュリティメディア「HackRead」によると、スペイン語を駆使する者を狙う新たなフィッシングキャンペーンが見つかったそうです。攻撃者の目的は「 AgentTesla 」というリモートアクセスマルウェアを配布すると分析されました。攻撃者はまず、大型金融機関を詐称してWindowsユーザーにメールを送ります。このメールにはExcel文書が添付されており、このファイルの中にはCVE-2017-0199という古い脆弱性に対するエクスプロイトが含まれています。これを通じてRTF文書が追加でダウンロードされ、Office Wordプログラムを通じて開きます。リモートコード実行を通じて AgentTesla が設置・実行されます。

AgentTesla はドットネット基盤のRATマルウェアです。攻撃者が被害者のサーバーを完全に掌握できるようにします。核となるモジュールはファイルレスという特性を持っているため、検知は非常に難しいです。前のバージョンはHTTP POSTとSMTOというプロトコルを通じてデータを送ったが、今度のバージョンはFTPプロトコルを活用することと分析されました。

Fortinetはこれについて、「フィッシングメールから攻撃が始まるので、フィッシングに対する警戒が必要です。パスワードは強力に設定し、OSアップデートも持続的にすることが重要です。」と加えました。