Google DoubleClickを悪用した新型マルスパムキャンペーンでDesckVB RATを配布

概要

サイバーセキュリティ研究者が、Googleの正規ドメイン「DoubleClick」を悪用して遠隔アクセストロイの木馬「DesckVB RAT」を配布する新たなマルスパムキャンペーンを発見しました。攻撃は、フィッシングメールの添付HTMLファイルから始まり、DoubleClickのURL経由でリダイレクトされます。その後、被害者のメールアドレスを使用して動的に企業ロゴや位置情報を組み込んだ偽のダウンロードページを表示し、説得力を高めています。このキャンペーンの脅威は、正規Googleドメインを使用することで検出回避ができ、運用コストを削減できるため、スケーラブルな攻撃が可能な点です。DesckVB RATは.NETベースのトロイの木馬で、PowerShellスクリプト経由で実行され、WindowsディフェンダーやAMSI（マルウェア対策スキャンインターフェース）などのセキュリティ機能を無効化します。

元記事（The Hacker News）