Emotet Botnet Distributing Self-Unlocking Password-Protected RAR Files to Drop Malware
2022/10/21 TheHackerNews — Emotet ボットネットの新しいマルスパム・キャンペーンは、パスワードで保護されたアーカイブ・ファイルを利用して、感染させたシステムに CoinMiner と Quasar RAT をドロップするものだ。Trustwave SpiderLabs の研究者たちが検出した攻撃チェーンの手口では、請求書を装う ZIP ファイルのルアーに、ネストした自己解凍 (SFX) アーカイブが含まれており、最初のアーカイブを媒介として機能させ、2番目のアーカイブを起動することが判明している。
従来において、このようなフィッシング攻撃では、標的を誘導して添付ファイルを開かせる必要があった。しかし、Trustwave によると、このキャンペーンでは、バッチファイルを用いてペイロードのロックを解除するための、パスワードを自動的に供給することにで、この手順を回避しているとのことだ。
さらに、最初の SFX アーカイブ・ファイルは、PDF/Excel のアイコンを使用して正規のものに見せかけている。しかし実際には、パスワードで保護された2番目の SFX RAR ファイル/アーカイブを起動する、前述のバッチ・スクリプト/ルアー PDF/イメージという、3つのコンポーネントが構成要素になっている。
木曜日の記事で、研究者である Bernard Bautista と Diana Lopera は、「このバッチファイルの実行により、パスワードで保護された RARsfx (自己解凍型 RAR アーカイブ) 内に潜むマルウェアがインストールされる」と説明している。
このバッチ・スクリプトは、アーカイブのパスワードとペイロードの展開先フォルダを指定し、さらに、悪意のある活動を隠すために、ルアー文書を表示するコマンドを起動する。
最終的に、この感染は、アーカイブに詰め込まれたペイロードに応じて、認証情報窃取ツールとしても機能する、暗号通貨マイナー CoinMiner や、オープンソース .NET リモート・アクセス型トロイの木馬 Quasar RAT を実行する。
また、ワンクリック攻撃の手法は、パスワードの壁を軽々と飛び越え、クリプトジャック/データ流出/ランサムウェアなどの、幅広いアクションを可能にする点でも注目されている。
Trustwave は、パスワードで保護された ZIP ファイルにパッケージされた脅威の増加を確認しており、これらの約 96%は Emotet ボットネットにより配布されたものだと述べている。
研究者たちは、「自己解凍型アーカイブは、長い期間にわたって保持され、エンドユーザー間でのファイル配布を容易にしている。その反面、ファイルの中身を容易に検証できず、コマンドや実行ファイルが秘密裏に実行されるため、セキュリティ上のリスクがある」と述べている。
ZIP ファイル形式で届いた、偽の請求書などをワンクリックしただけで感染という、シンプルかつ強力なまるスパム・キャンペーンですね。このところ、6月21日にポストした「7-zip のセキュリティが強化:インターネットからのファイルに Mark-of-the-Web 識別子を付与」という記事が、よく読まれているのですが、ひょっとすると、この Emotet キャンペーンと関連しているのかもしれません。Mark-of-the-Web 識別子の付与が、どのように機能するのか、よく分かりませんが、この種の攻撃を抑えるための手段にはなりそうです。よろしければ、Emotet で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.