偽プログラムエラーメッセージを通じて悪性の PowerShell を配布

セキュリティメディア「Bleeping Computer」によると、偽のエラーメッセージを通じて悪性の PowerShell のスクリプトを実行させる攻撃が流行しているそうです。Google ChromeとMS Word、OneDriveからエラーが発生したように偽のメッセージを生成して被害者に送るが、この偽メッセージには「エラー解決のためにはファイルを追加に設置しなければならない」という内容が含まれています。これを受諾すると実際にファイルがダウンロード・設置され、これはそもそもエラーを修正するのではなくて悪性の PowerShell です。悪性の PowerShell は結局、追加ペイロードを設置することで攻撃を続けますが、ランサムウェアから暗号通貨の採掘のマルウェアに至るまでの多様な手法が動員されています。

現在、この攻撃の手法を使用しているハッカーグループは複数であり、セキュリティ企業の「Proofpoint」が見つけ出した分だけ見ても「ClearFake」の運営者、「TA571」等があります。ペイロードも多様で「DarkGate」、「Matanbuchus」、「NetSupport」、「XMRig」、「Lumma Stealer」等があります。

これについてProofpointの関係者は、「ユーザーの介入がなければならないのではあるので、非常に強力な攻撃だとは言えないですが、誰でもコンピューターを使うと見つけられるエラーメッセージを悪用したとういう点で巧妙だとは言えます。これは騙されやすいですね。」と加えました。