ソーシャルエンジニアリングを使用してPowershellを実行させる新たなキャンペーンが観測されています。
偽のGoogle警告を表示し、ユーザーに悪意あるPowershellを実行させマルウェアをダウンロードさせることが目的であるです。
この攻撃の厄介な点は、正規のプロセスを踏んでコード実行している点、悪意あるコードをユーザーが手動実行している点にあります。
アンチウイルスソフトやEDRなどのセキュリティソフトは、ファイルに書き込まれているコードからそのファイルが不審な動きをしていないか判断します。例えば、Wordファイルからコマンド実行するような動きは怪しいのでcod.exeのプロセスをブロックして通信を止めます。
この攻撃では、ユーザーにPowershellコマンドをコピーさせ手動で実行させます。セキュリティソフトはユーザーが正規の使用法でコマンド実行しているように見えるため、このような通信は検出しないようになっています。
このような攻撃の場合、最後の防衛戦は人になります。Proofpointは「組織は、ユーザーがアクティビティを識別し、疑わしいアクティビティをセキュリティチームに報告できるようにトレーニングする必要があります」と述べています。
今後、セキュリティソフトの技術が上がれば攻撃者はソーシャルエンジニアリングに頼らざるを得なくなります。そうなると、人の脆弱性を軽視した企業から重大な事故が起きる可能性が高いと見ています。組織全体でセキュリティ意識を高めて、サイバー犯罪に立ち向かう必要があります。
