JPCERT の EmoCheck が Emotet 64-bit に対応:簡単な操作でマルウェアを検出

EmoCheck now detects new 64-bit versions of Emotet malware

2022/04/28 BleepingComputer — 今月から感染が検出され始めたマルウェア Emotet の、64 Bit 版を検出するユーティリティ EmoCheck の新バージョンが、JPCERT からリリースされた。Emotet は、Word・Excel 文書/Windows ショートカット/ISO ファイル/パスワードで保護されたZIPファイルなどの、悪意の添付ファイルを含んだフィッシング・メールを介して、最も活発に配布されているマルウェアの1つである。これらのフィッシング・メールは、返信用チェーンメール/出荷通知/税務書類/会計報告書/ホリデーパーティ招待状などによりユーザーを騙し、ファイルを開かせるための独創的な誘い文句を使用している。

Emotet holiday party invite
Fake holiday party invite installing Emotet

標的デバイスに感染した Emotet は、ユーザーの電子メールを盗み出し、その後のリプライチェーン・フィッシング攻撃で使用する他、さらなるマルウェアのペイロードをダウンロードしていく。それらのマルウェアは、データの盗難やランサムウェア攻撃につながることが多いため、被害が拡大する前に Emotet マルウェアの感染を、迅速に検出することが極めて重要になる。

EmoCheck が64 Bit 版向けにアップデート

2020年に JPCERT は、Emotet 感染の有無についてコンピュータ・スキャンする、EmoCheck という無料ツールをリリースしている。もし、検出された場合には、マルウェア感染へのフルパスを表示し、削除できるようにしている。

しかし、今月の初めに Emotet ギャングが、ローダーとスティーラーを 64 Bit バージョンに切り替えたことで、既存の検出はあまり役に立たなくなった。さらに、この切り替えにより、EmoCheck ツールは Emotet 64 Bit 版をを検出できなくなった。今週に JPCERT は、64 Bit バージョンをサポートする EmoCheck 2.2 をリリースし、以下に示すように、それらを検出に対応するようになった。

EmoCheck detecting the Emotet malware infection
EmoCheck detecting the Emotet malware infection

Emotet 感染の有無を確認するには、JPCERT の GitHub リポジトリから、EmoCheck ユーティリティをダウンロードする必要がある。ダウンロードしたら、emocheck_x64.exe または emocheck_x86.exe をダブルクリックする。

EmoCheck により Emotet トロイの木馬がスキャンされ、マルウェアが検出された場合も、それが実行されているプロセス ID とマルウェア DLL のロケーションが表示される。

現時点において Emotet は、:\Users\[username]\AppData\Local 下のランダム・フォルダーにインストールされている。Emotet マルウェアは DLL だが、拡張子は DLL ではなく、.bbo や .qvp といった、ランダムな3文字の拡張子で構成されている。
インストールされた Emotet マルウェアの感染例は、以下のとおりである。

Emotet installed under %LocalAppData%
Emotet installed under %LocalAppData%

EmoCheck は、検出された情報を含むログを、対象プログラムと同じフォルダーに作成し、必要に応じて参照できるようにする。

EmoCheck を実行し、感染していることが判明した場合は、直ちにタスク・マネージャを開き、リストされたプロセス (通常は regsvr32.exe) を終了させる必要がある。その後も、信頼できるアンチウイルス・ソフトウェアでコンピュータをスキャンし、他のマルウェアの追加インストールも確認する必要がある。このツールは、Windows の管理者にとって便利であり、ログイン時に実行することで、ネットワーク上の Emotet 感染を検出することが可能となる。

とてもタイムリーな Emotet スキャナーの提供であり、世界中で使ってもらえると思います。最近の Emotet 関連のニュースとしては、4月19日の「Emotet の 64 Bit 版が登場:悪意のメールは 10倍増:AV ソフトの検出は 32 Bit のみ?」や、4月25日の「Emotet の新たな戦略:Microsoft による VBA マクロ制限への対抗策を試している?」、4月26日の「Emotet の新戦術:Windows ショートカット・ファイル内の PowerShell を介して展開される」などがあります。また、スキャナーに関しては、2021年12月の「CISA の Apache Log4j スキャナー:CVE-2021-44228 と CVE-2021-45046 に対応」という記事もありました。よろしければ、ご参照ください。

%d bloggers like this: