Proofpoint のセキュリティ研究者は最近、「Voldemort」と呼ばれる新しいマルウェアについて警告しました。このマルウェアはフィッシングメールを介して拡散し、Google Sheets に偽装してセキュリティ システムを回避し、さまざまなデータにアクセスします。
このマルウェアの主な標的は、主に保険、航空宇宙、運輸、教育分野の企業、事業体、組織です。このマルウェア攻撃の背後にいるアクターは未だ不明ですが、Proofpointはサイバースパイ活動の一種であると考えています。
Voldemortフィッシングメールは、米国、ヨーロッパ、またはアジアの当局を装っています。報告書によると、攻撃者は公開情報に基づいて標的組織の所在地と一致するようにフィッシングメールを作成し、メール自体には「最新の税務情報」を記載したとされる文書へのリンクが含まれています。
関連:注意すべき最も一般的なフィッシング詐欺
クリックすると何が起こりますか?
マルウェア攻撃キャンペーンは2024年8月5日に開始され、攻撃者はすでに70社以上の標的企業に2万通以上のメールを送信しています。ピーク時には、フィッシングメールは最大6,000人の潜在的な被害者に届きます。
被害者がメール内のリンクをクリックすると、PDFに偽装されたファイルのダウンロードにリダイレクトされます。一見、怪しいとは思えないかもしれません。しかし、このマルウェアはネットワークトラフィックを装い、Googleスプレッドシートをコマンドアンドコントロールサーバー(C2攻撃とも呼ばれます)として利用します。また、アクセスデータが埋め込まれたGoogle APIを使用しているため、セキュリティシステムはマルウェアトラフィックを疑わしいものとして分類しません。
このマルウェアは主にデータを盗むことを目的としていますが、追加のマルウェアをダウンロードしたり、ファイルを削除したり、一時的に自身を無効化したりする機能も備えています。ある意味ではバックドアとして機能するため、感染したシステムにとって多用途の脅威となります。
関連:マルウェアがウイルス対策ソフトウェアをすり抜ける仕組み
自分を守る方法
Voldemort マルウェア キャンペーンから保護するために、Proofpoint は、外部のファイル共有サービスから信頼できるサーバーへのアクセスを制限し、実際に必要のないときは TryCloudflare への接続をブロックし、疑わしい PowerShell 実行を監視することを推奨しています。
Proofpoint の完全なレポートは、こちらからご覧いただけます。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
著者: René Resch、寄稿者、PCWorld
ルネは2013年からドイツのFoundryチームに所属しています。当初は開発チームでキャリアをスタートし、その後、ポータル管理の分野で研修生やフリーランスとして活躍しました。2017年からはフリーランスライターとして活動しています。特に、テクノロジーのトレンド、ゲーム、PCなどのトピックに興味を持っています。
