2020年の暮れにMinervaのブログでレポートした高度なフィッシングスタイル攻撃は、再び数か月に渡り集中してドイツの金融機関を狙った攻撃として再発しています。この攻撃はユーザーにペイロードをダウンロードさせ、JavaScriptファイルを悪用し、ユーザーを騙して攻撃を開始します。

前回のブログ以来、このマルウェアの開発者は、AV(アンチウィルス)ソフトウェアから検知回避させるためにスクリプト構築を変更していました。Virus TotalなどのITセキュリティベンダーなどのコミュニティーでも、3社のみブラックリストとして警鐘していました。

このマルウェアは、ほとんど変わっていないのですが、重要な事は、新たなC＆Cサーバーを構築し、ターゲットのウエブサイトを攻撃するように設計されていることが、調査の結果判明しました。

Minervaが調査した結果、PowerShellスクリプトがレジストリーからNETコードをロード後、インジェクション攻撃を実行しますが、手法は最近のバージョンと同様でした。しかし他のバージョンも存在しています。それは正当なWindows Processである"C:\Program Files (x86)\Windows PhotoViewer\ImagingDevices.exe"を利用して仕掛けてきます。この攻撃をMinervaは先制防御しました。

攻撃プロセスが以下の図で示されています。

Minerva製品（Minerva Armor）についてのお問い合わせはPico Technologies (info@pico-t.co.jp)までお願い致します。