Cofenseは4月3日(米国時間)、「Rhadamanthys Stealer Delivered in Transportation Campaign」において、石油・ガス業界を標的とするフィッシングキャンペーンを確認したとして注意を呼びかけた。このキャンペーンでは、フィッシングメールを介して情報窃取マルウェア「Rhadamanthys」を配布するとされる。
交通事故に見せかけたフィッシングキャンペーン
Cofenseが確認したフィッシングキャンペーンでは、車両事故を装う独特なフィッシングメールを使用することが確認されている。車両事故の内容や緊迫感を作り出す文面はさまざまだが、主に雇用主からの通知、法的処置、法執行機関への連絡などの内容を含むという。これまでに同様のフィッシングメールが多数確認されているが、文面が多彩であることからChatGPTなどの生成AIが悪用された可能性が指摘されている。
これらフィッシングメールにはオープンリダイレクトのURLが記載されており、URLにアクセスすると連邦運輸局(Federal Bureau of Transportation)を装ったPDFファイルがダウンロード・表示される。PDFファイルには事故車両等の画像が含まれており、画像をクリックするとZIPアーカイブをダウンロードする。このZIPアーカイブにマルウェアをインストールする実行可能ファイルが含まれている。
情報窃取マルウェア「Rhadamanthys」の特徴
最終的に実行されるマルウェアは情報窃取マルウェア「Rhadamanthys」だという。このマルウェアは認証情報、ウォレット関連情報、その他の機密情報を窃取する機能を持つという。また、このマルウェアはマルウェア・アズ・ア・サービス(MaaS: Malware-as-a-Service)として提供されており、比較的高価とされる。2024年1月22日に機能の追加、検出の回避機能を含むメジャーアップデートが確認されており、これが今回の攻撃に採用された理由とみられている。
対策
このキャンペーンではフィッシングメールを使用して被害者を悪意のあるPDFファイルに誘導する手法がとられている。交通事故という緊迫感を作り出す戦術を採用しており、被害者は焦ってオープンリダイレクトURLにアクセスする可能性がある。しかしながら、通常、交通事故などの緊急時にメールを使うことはなく電話で連絡する。
また、Google画像などのオープンリダイレクトやPDFを使用することも不自然で、通常は写真を直接メールに添付すると考えられる。このような不審なメールはフィッシングメールの可能性が高く、緊迫感を作り出す内容のメールの場合は特に注意することが推奨されている。