15.9 C
Tokyo
2024年 11月 16日 土曜日
type here...
テクノロジー

Lumma情報窃取マルウェアを送り込むCrowdStrikeの偽ドメインに注意

By Michele Schroeder
0
65
Lumma情報窃取マルウェアを送り込むCrowdStrikeの偽ドメインに注意

Must read

Michele Schroeder
Michele Schroeder

テクノロジー

CrowdStrikeは、Windowsユーザーを騙して悪名高いLumma情報窃取マルウェアをダウンロードさせ、実行させるために使用されている最新の誘い文句であると、セキュリティショップの脅威インテルチームは述べている。

Lummaのような情報窃取マルウェアは、サイトのログイン情報やブラウザの履歴など、保存されているあらゆる機密情報を求めて感染したマシンを探し回ります。このデータは、詐欺、窃盗、その他の犯罪に使用するために、マルウェアのオペレーターに静かに流出します。

より具体的には、この盗まれた情報は、被害者のオンライン銀行口座や暗号通貨ウォレット、電子メールの受信トレイ、リモートデスクトップアカウント、その他正規のログイン認証情報を必要とするアプリやサービスへの不正アクセスに使用されるため、この種のマルウェアはサイバー犯罪者の間で特に人気があります。

Lummaは、比較的人気の高いステラーであり、高い需要があります。 ランサムウェア・クルー を2022年以降使用している。また、Mandiantによると、犯罪組織UNC5537が認証情報を取得するために使用した情報窃取者の1つであり、その認証情報は次のような目的で使用された。 スノーフレークへの侵入 クラウドストレージ環境に侵入した。

CrowdStrikeのキャンペーンにおいて、Lummaのビルドタイムスタンプは、「行為者が、CrowdStrikeのFalconセンサーのシングルコンテンツアップデートが確認された翌日に、配布用のサンプルをビルドした可能性が高いことを示している」と、セキュリティショップは述べている。 と指摘しています。.

ドメイン、crowdstrike-office365[.]comは、7月23日に登録されました。 のわずか日後に登録された。 クラウドストライクの7月19日 不具合アップデート クラッシュ 8.500万台のWindowsマシン.このドメインの背後にいるグループは、Lummaマルウェアを配布した6月のソーシャルエンジニアリング攻撃と関連していると推測している。

これらの以前の情報窃取キャンペーンでは、悪者はフィッシングメールを送りつけ、Microsoft Teamsのヘルプデスク社員を装った電話で追跡していました。

「CrowdStrike Intelligence は、これらのキャンペーンでインフラが共有されていること、また企業ネットワークが明らかに標的になっていることから、これらの活動は同一の無名の脅威行為者に起因している可能性が高いと、中程度の信頼性をもって評価している」と CrowdStrike チームは報告している。

CrowdStrikeの偽ドメインは、ユーザーを騙して、不正なセンサーアップデートによって引き起こされたブートループを修正するためのリカバリツールを装った.zipファイルをクリックさせ、取得させようとします。このアーカイブには、Microsoft Installerファイル、WidowsSystem-updateが含まれています。[.]msiというマイクロソフトのインストーラーファイルが含まれています。

ローダーがマークによって実行された後、自己解凍型RARファイルplenrcoをドロップして実行します。[.]exe、ファイル名 SymposiumTaiwan の Nullsoft Scriptable Install System (NSIS) インストーラーがあります。[.]exeというファイル名のNullsoft Scriptable Install System (NSIS)インストーラがあります。このファイルには、高度に難読化された正規のAutoIt実行ファイルのコードフラグメントが含まれており、被害者のマシンでウイルス対策ソフトウェアが実行されていると終了します。

しかし、安全が確認され、マルウェアが検出されずに続行できると仮定すると、AutoItローダーは、32ビットシステムか64ビットシステムかに応じて、2つのシェルコードのいずれかを実行し、最終的にLummaマルウェアを展開します。

CrowdStrikeの不正なセンサー・アップデートによりWindowsマシンがBSODスパイラルに陥ったわずか数時間後、以下の報告が浮上した。 詐欺メール CrowdStrike Support または CrowdStrike Security をかたる詐欺メールが届いています。このセキュリティ企業は、影響を受けたシステムの 97 パーセントがオンラインに戻ったと主張している。®

引用元へ

前の記事
レイセオン社、イタリアのアビオ社と提携し固体ロケットモーターの生産を拡大
次の記事
トム・ペティの素晴らしいマリブ・コンパウンドがまもなく1900万ドルで市場に出る
- Advertisement -spot_img

More articles

- Advertisement -spot_img

Latest article

ワールドニュースJP

© Munich, LLC. All rights reserved. Pulses Pro® is a registered U.S. trademark of tagDiv, LLC.

About Us

Popular Category

Editor Picks