PDF マルウェアの急増:WikiLoader/Ursnif/DarkGate などが配信される – HP

PDF Malware on the Rise, Used to Spread WikiLoader, Ursnif and DarkGate

2024/02/16 InfoSecurity — PDF を通じてWikiLoader/Ursnif/DarkGate などのマルウェアを拡散するサイバー犯罪者たちが検出され、新たな脅威が増加していることが、HP Wolf Security の最新レポートで明らかになった。同社の分析によると、2023年 Q4 と 2013年 Q1 の比較において、PDF の脅威が7%ほど増加している。これまでの PDF は、被害者から認証情報や財務情報を引き出すフィッシングで使用されてきたが、いまはマルウェアの拡散が増大している状況にある。

HP Wolf Security が分析したマルウェアのうち、配信手段として PDF を使用したものは、2023年 Q1 は僅か 4% だったが、Q4 は 11% に達している。その顕著な例が、偽の宅配便を語る PDF でユーザーを騙し、Ursnif マルウェアをインストールさせる WikiLoader キャンペーンであったと、同社は述べている。

攻撃の精度を高めるために使用される広告ツール

DarkGate マルウェア・キャンペーンでは広告ツールが使用され、被害者を追跡すると同時に、検知が回避されていたと、HP は指摘している。OneDrive のエラー・メッセージを装う悪意の PDF 添付ファイルは、広告ネットワークでホストされている著名なスポンサー・コンテンツへと、ユーザーを誘導する。

そこでリンクをクリックするユーザーは、約束されたドキュメントを読むことができる。しかし、実際には、リンクをクリックすると、コンピュータを DarkGate に感染させるマルウェア入のファイルがダウンロードされる。HP の指摘は、多くの人々が PDF 文書を読むためにウェブブラウザを使用しているため、この誘い文句は非常に説得力があるというものだ。

Figure 1 – DarkGate lure imitating a OneDrive error message, caught by HP Sure Click

この悪意の広告サービスは、最も多くのクリックと、最も多くの感染を生み出すルアーを分析するために使用され、最大の効果を得るキャンペーンを作り出している。

HP の Head of Security for Personal Systems の Dr Ian Pratt は、 「サイバー犯罪者たちは、企業がマーケティング・キャンペーンを管理する際に用いるツールを、マルウェア・キャンペーンを最適化するために適用し、ユーザーがルアーに引っかかる確率を高めている。十分なリソースを持つ脅威アクターからの攻撃を防ぐために、ユーザー組織はゼロトラスト原則に従い、電子メール添付ファイルの開封/リンクのクリック/ブラウザでのダウンロードといった危険な行為を隔離し、封じ込める必要がある」と述べている。

脅威アクターたちは CAPTCHA ツールを用いて、サンドボックスでのマルウェア・スキャンを回避し、人間だけがクリックする攻撃を構成できる。

MaaS (malware-as-a-service) として運営されている DarkGate は、ネットワークへのバックドア・アクセスをサイバー犯罪者に提供し、データ摂取やランサムウェアなどのリスクを高めている。

セキュリティ・ポリシーと検知を回避する攻撃者たち

サイバー犯罪者たちは、セキュリティ・ポリシーや検知ツールを回避するために、攻撃手法を多様化し続けている。最も一般的なマルウェア配信タイプはアーカイブであり、HP が分析したインシデントの 30% で使用されていた。2023年 Q4 における悪意のアーカイブ形式の Top-3 は、RAR/ZIP/GZ だったという。

HP Sure Click が特定した、電子メールを介した脅威の少なくとも 14% は、1つ以上の電子メール・ゲートウェイ・スキャナをバイパスしていた。2023年 Q3 における脅威ベクターの上位は、電子メール 75%/ブラウザからのダウンロード 13%/USBドライブなど手段 12% となっていた。

その他の調査結果としては、マクロを介した Office エクスプロイトへの移行が挙げられる。Excel スプレッドシートを狙った侵入の少なくとも 84% および、Word ドキュメントを狙った侵入の 73% が、Office アプリケーションの脆弱性を悪用するものだった。

このレポートのデータは、2023年10月〜12月において、HP Wolf Security の顧客から同意を得て収集されたという。

PDF でマルウェアという、いまのビジネス習慣の欠点を突く攻撃が増えているようです。たとえば、社員を募集するために履歴書を受け取る人事部など、また、さまざまな資材を調達する購買部などは、この種の攻撃の標的になりやすいですね。そのため、サンドボックスなどを活用しているはずですが、こうした防御を回避する攻撃も多いようです。よろしければ、PDF で検索も、ご利用ください。