Emotet が偽の Adobe インストーラーを介して広まり始めている

Emotet now spreads via fake Adobe Windows App Installer packages

2021/12/01 BleepingComputer — 現在、マルウェア Emotet は、Adobe PDF ソフトウェアを装う、悪意の Windows App Installer パッケージを介して配布されている。Emotet は、フィッシング・メールや悪意の添付ファイルを介して拡散する、悪名高いマルウェアである。インストールされると、他のスパム・キャンペーンのために被害者のメールを盗み、TrickBot や Qbot などのマルウェアを展開して、ランサムウェア攻撃などへつなげる。

Emotet の背後にいる脅威アクターは、App Installer 呼ばれる Windows 10/11 の機能を用いて、悪意のパッケージをインストールし、システムに感染させている。
以前にも、同じ方法でマルウェア BazarLoader が配布され、Microsoft Azure にホストされた悪意のパッケージのインストレーションが確認されている。

Windows App Installer の悪用

BleepingComputer は、Emotet トラッキング・グループである Cryptolaemus が共有している URL とメール・サンプルにより、新しいフィッシング・メール・キャンペーンの攻撃の流れを以下のように理解している。この新しい Emotet キャンペーンは、既存の会話への返信として表示される、盗まれたリプライチェーン・メールから始まる。

このリプライ・メールは、受信者に「添付ファイルを参照」とだけ伝え、また、メールの内容に関連する悪意の PDF へのリンクを含んでいる。このリンクをクリックすると、ユーザーは偽の Google Drive ページへと移動し、PDF 文書をプレビューするボタンのクリックを促される。

続いて、Windows ブラウザーは、Windows App Installer プログラムを開いて続行するかどうかを尋ねる。同意すると、 Adobe PDF Component のインストールを促す App Installer ウィンドウが表示される。

この悪意のパッケージには、正規の Adobe PDF アイコンがあり、Trusted App としてマークされた有効な証明書がるため、正規の Adobe アプリケーションのように見える。つまり、多くのユーザーに対して、このアプリケーションを信頼させ、インストールさせるのに十分すぎるものだ。

ユーザーがインストール・ボタンをクリックすると、App Installer は Microsoft Azure でホストされている悪意の appxbundle をダウンロード/インストールする。この appxbundle は、%Temp% フォルダに DLL をインストールし、rundll32.exe で実行する。また、このプロセスでは、DLL が %LocalAppData% にランダムな名前のファイルとフォルダとしてコピーされる。最後に、ユーザーが Windows にログインしたときに、自動的に DLL を起動するためのオートランが、HKCU˶Software˶Microsoft˶Windows˶CurrentVersion˶Runの下に作成される。

Emotet は、法執行機関の活動により、ボットネットのインフラが停止/押収されるまでの間、これまでで最も多く配布されていたマルウェアだった。10ヵ月後に、TrickBot トロイの木馬の助けを借りて、Emotet は再構築を始め復活した。その翌日に、Emotet のスパム・キャンペーンが開始され、様々なルアーやマルウェアをインストールする、悪意のドキュメントを添付したメールが、ユーザーのメールボックスを襲った。

このキャンペーンにより、Emotet は急速に存在感を高め、再び TrickBot や Qbot をインストールする大規模なフィッシング・キャンペーンを実施した。Emotet のキャンペーンは、ランサムウェア攻撃につながるのが普通である。Windows 管理者は、マルウェアの配布の方式を常に把握し、Emotet キャンペーンを見分けられるよう、従業員を教育する必要がある。

Adobe インストーラーとは、Emotet も厳しいところを狙ってきますね。世界中で、膨大な件数のインストールが繰り返されている、ウィーク・ポイントです。ソース記事を提供している BleepingComputer には、画面イメージも掲載されているので、そちらも参照してみてください。これは、騙されてしまうと思います。なお、最近の Emotet 関連の記事としては、「Emotet が再生/復活:TrickBot を介してインフラを急速に拡大」や、「Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?」、「Microsoft Defender の Emotet 誤検知:Office ファイルも開けず Admin たちは大混乱」などがあります。よろしければ、合わせて ど〜ぞ。

%d bloggers like this: