セキュリティー企業の米Proofpoint(プルーフポイント)は2023年2月初旬、新たな攻撃キャンペーン(一連の攻撃活動)を確認したとして注意を呼びかけた。
同社が「Screentime(スクリーンタイム)」と名付けた攻撃キャンペーンの特徴は、被害者(攻撃対象)のパソコンの画面データ(スクリーンショット)を取得すること。人によってはパソコンのデータを暗号化されるよりも恐ろしいだろう。
一体、攻撃者の目的は何なのだろうか。
怪しいメールが攻撃のトリガー
まずはスクリーンタイムの概要を紹介しよう。スクリーンタイムが確認されたのは2022年10月から2023年1月まで。攻撃対象は主に米国およびドイツの企業。あらゆる業種が対象になったという。
一般的な攻撃キャンペーンと同様に、スクリーンタイムも多段階の手順を踏む。攻撃のトリガーとなるのはメールだ。
2022年10月から11月の攻撃では、Publisherファイル(拡張子は.pub)を添付したメールが使われた。Publisherは米Microsoft(マイクロソフト)の簡易DTPソフト。Office製品群の1つである。
添付されたPublisherファイルには悪質なマクロが仕込まれている。ファイルを開いてマクロを有効にすると、攻撃者が用意したJavaScriptファイルがダウンロードおよび実行される。悪質なマクロはExcelファイルやWordファイルに仕込むのが一般的だ。なぜPublisherファイルを使ったのかは謎である。
Publisherファイルではうまくいかなかったのか、その後攻撃者は方針を変更。メールの本文中に、JavaScriptファイルのURL(リンク)を記載するようにした。
そして活動の規模を拡大。週に2回から4回、1回当たり数千から数万のメールを送信し始めた。
当初は英語のメールだけだったが、2022年12月以降はドイツ語などのメールも確認されるようになった。
なおセキュリティー組織の米SANS Institute(サンズ・インスティチュート)の研究者は、メールではなくGoogle広告から始まる攻撃キャンペーンも確認している。有名なソフトウエアの名称で検索すると、そのソフトウエアのダウンロードサイトに見せかけたGoogle広告が表示される。
そのGoogle広告をクリックすると、悪質なJavaScriptファイルをダウンロードさせる偽サイトに誘導される。
ダウンロードしたJavaScriptファイルを実行すると、「WasabiSeed」と名付けられたマルウエアがダウンロードされて実行される。
実行されたWasabiSeedは、「Screenshotter」と呼ばれるマルウエアをダウンロードおよび実行する。名前から分かるように、このScreenshotterがスクリーンショットを撮影し、攻撃者のサーバー(C&Cサーバー)へ送信する。Screenshotterの役目はこれだけだ。
