別のフィッシングキャンペーンがHeimdalの研究者によって発見されました, Delta Airを利用し、Hancitorマルウェアをダウンロードする. 被害者となる可能性のある人は、会社から支払い確認メールを装ったメールを受け取ります.
デルタ航空でのご注文はフィッシング詐欺であることが確認されています
研究者によって説明されたように, 航空会社を使用して悪意のある意図を偽装することはランダムではありません, 多くの航空会社が今年のこの時期に夏のフライトの割引料金を提供しているため. 件名が「ご注文」のメールを受け取った場合 [数字] デルタ航空との提携が確認されました!」予約せずに, 注意して進めてください!
マルウェアを含むスパムメールは次のようになります:
すべてのフィッシングメールと同様に, 注意深い目は、メッセージの本物ではない発信元を指し示すいくつかの不正確さをすぐに見つけます:
- 初めに, メールアドレスは正当なものではなく、当該会社のものではありません。. 会社のメールだったら, 「@deltaa」ではなく「@delta.com」で終了する必要があります.
- フライトに関する具体的な情報は提供されていません. これが本当に確認メールだった場合, 予約したフライトに関する詳細が含まれている必要があります, 情報の不足を利用して、提供されたリンクをクリックするようにユーザーを誘導します.
- 電子メールの視覚的な形式は、デルタ航空の通常の電子メールに対応していません. あなたが会社の顧客である場合, あなたは間違いなくこの不正確さを疑わしいと思うはずです.
2つのメールを比較して、違いを自分で確認するには, 会社から送信された正当なメールは次のようになります:
デルタ航空のフィッシングキャンペーンの詳細
侵害されたシステムにダウンロードされたHancitorマルウェアとZloader
このメールは明らかに、誰かが自分の資格情報とIDを使用して航空券を購入したとユーザーに信じ込ませるために作成されたものです。. ユーザーは通常パニックになり、提供されたリンクを操作します, これは実際には非常に悪い考えです. リンクは、Hancitorマルウェアを含むMicrosoftWordドキュメントをホストする感染したWebサイトにユーザーをリダイレクトします. Hancitorは、フィッシング攻撃でよく使用される多用途の悪意のあるコードです。.
マルウェアは通常、侵入先のシステムに対する将来の攻撃を可能にするためのブリッジとして使用されます. これは、より多くのマルウェアがコンピューターにダウンロードされようとしていることを意味します.
関連している: フィッシングメールでハッカーに悪用されたMicrosoftとGoogleのクラウドインフラストラクチャ
ユーザーが悪意のあるWord文書を介してHancitorをダウンロードすると、マルウェアがアクティブ化されます. 結果として, 正当なシステムプロセスは、PowerShellコードを介して感染します. それで, 感染したシステムは、1つ以上のコマンドアンドコントロールサーバーに接続されます.
ついに, Ponyマルウェアファミリーの追加のマルウェアがダウンロードされます.
以前に書いたように, ポニーは何年も前にサイバー世界で最初に導入されました. 悪名高い情報スティーラーは、ZeusおよびNecursトロイの木馬を拡散するために使用されています, CryptolockerとCribitランサムウェアも同様です.
すなわち, このフィッシング攻撃はZloaderを使用します, これはポニーベースのマルウェアです. Zloaderは、被害者の銀行口座を標的としたバンキングマルウェアです。.