悪名高いマルウェア「Emotet」がAdobe PDFソフトウェアを偽装したWindows App Installerを通じて配布されていることがわかりました(BleepingComputer)。
Emotetはフィッシングメールや悪意のある添付ファイルを介して拡散された悪名高いマルウェアです。システムが感染すると他のスパムキャンペーンのために被害者のメールを盗み、TrickBotやQbotなどのマルウェアを展開し、ランサムウェア攻撃を引き起こします。
今回Emotetは、App Installerと呼ばれるWindows 10、Windows 11に組み込まれた機能を使用して悪意のあるパッケージをシステムにインストールしているようです。以前、同じ方法でマルウェア「BazarLoader」が配布され、Microsoft Azureにホストされた悪意のあるパッケージがインストールされているのが確認されてています。
EmotetのトラッキンググループCryptolaemusによると、攻撃は以下のように行われます。
- 既存の会話への返信としてチェーンメールが送られてくる。
- メールは受信者に「添付ファイルをご覧ください」とだけ伝え、PDFへのリンクを含む。
- リンクをクリックすると、Google Driveの偽装ページが表示され、PDF文書をプレビューするように促される。
- 「PDFをプレビューする」ボタンはms-appinstallerのURLで、*.web.core.windows.netのURLを使用してMicrosoft Azureでホストされているappinstallerファイルを開こうとする。
- .appinstallerファイルを開こうとすると、ブラウザはWindows App Installerプログラムを開いて続行するかどうかを確認する。
- 同意すると、「Adobe PDF Component」をインストールすることを促すApp Installerウィンドウが表示される。
- 「インストール」ボタンをクリックすると、App Installerが、Microsoft Azureでホストされている悪意のあるappxbundleをダウンロードしてインストールする。
- ユーザーがWindowsにログインしたときに自動的DLLを起動するためのオートランが設定される。
Emotetは過去に最も多く配布されたマルウェアとして知られています。
その後インフラが法執行機関によって押収されて沈静化しましたが、最近活動が再開している兆候があり、再びTrickBotやQbotをインストールする大規模なフィッシング・キャンペーンが行われている模様です。Emotetはランサムウェア攻撃に利用されるため、Windows管理者はマルウェアの配布方法を常に把握しておく必要があります。
