Notepad++ を侵害する WikiLoader というマルウェア:DLL ハイジャックで C2 通信

Popular Text Editor Notepad++ Compromised in “WikiLoader” Malware Attack

2024/04/14 SecurityOnline — 広く使用されているテキスト・エディタ Notepad++ を標的とする巧妙なマルウェアキャンペーンが、AhnLab Security Emergency Response Center (ASEC) のセキュリティ研究者たちにより発見された。この WikiLoader と名付けられた攻撃は、現代の脅威アクターたちの驚くべき巧妙さと、一見すると信頼できるソフトウェアにさえ、リスクが存在することを示している。

偽装の技術:WikiLoader が信頼を悪用する方法

この攻撃の核心は、DLL ハイジャックとして知られるテクニックにある。攻撃者は、デフォルトの Notepad++ プラグインである “mimeTools.dll” を密かに変更し、このテキスト・エディタが起動される悪意のコードを実行する。このプラグインは、すべての Notepad++ のインストールに同梱されているため、このソフトウェアを使用するユーザーたちは、直ちに感染を引き起こすことになる。

Malware flow diagram | Image: ASEC

攻撃者は、このプラグインを侵害し、その中に慎重にペイロードを隠した。無害な証明書を装うファイル “certificate.pem” は、暗号化されたシェルコードをマスクする。このマルウェアが、他のプラグイン “BingMaps.dll” 内のコードを上書きし、コアとなる Windowsプロセス “explorer.exe” にスレッドを注入するため、複雑さは増していく。この手順により、攻撃の持続性が確保され、検出が困難になる。

回避/欺瞞/悪意

WikiLoader キャンペーンは、アンチウイルス・ソフトウェアやセキュリティ研究者たしを、妨害するために設計された複数の戦術を取り入れている:

  • ありふれた風景の中に潜む:間接的なシステムコールを使用することで、このマルウェアは標準的な監視ツールによる検出を回避する。
  • 猫とネズミの駆け引き:このマルウェアは、分析において頻繁に使われるプロセスを積極的にスキャンする。そして、自身が検出された場合には直ちにシャットダウンし、詳細な調査を回避する。

WikiLoader を操る脅威アクターの目的は明確である。WordPress のログインページを巧妙に装う Command and Control (C2) サーバに、侵害した Notepad++ を接続させることである。それにより、最終的なマルウェアのペイロードが配信されるが、その正確な機能は、現時点では完全には解明されていない。

判明していること:WikiLoader の偵察ミッション

最終的なペイロードを忍び込ませなくても、WikiLoader に感染したシステムから、関する情報が綿密に収集されると、重大なリスクが生じる。悪意のアクションが実行され、以下のような機密情報が窃取されるだろう:

  • コンピュータ名とユーザー名
  • 管理者のアクセスレベル
  • 言語とシステム設定
自分自身を守る:Notepad++ ユーザーとって重要なステップ

Notepad++ 内で、WikiLoader マルウェアが発見されたことは、広く使用されているソフトウェア・アプリケーションに内在する、脆弱性を強調するものである。マルウェアが、日常的なツールに簡単に組み込まれることが浮き彫りにするのは、たとえ何百万人もの人々に信頼され、頻繁に使用されているソフトウェアを扱う場合であっても、警戒が極めて重要であるということだ。

  • ソースの問題:Notepad++ などのソフトウェアは、必ず公式かつ信頼できるソースからのみダウンロードする。海賊版ソフトウェアには重大なリスクがある。
  • 直ちにパッチを当てる: Notepad++を使用している場合は、このエクスプロイトを軽減するために、最新バージョンを入手/インストールする。
  • 用心が肝心: たとえ既知のソフトウェアであっても、システム上の予期せぬ動作には細心の注意を払う必要がある。現在のサイバー・セキュリティの脅威に関する情報を、常に入手すべきである。
  • より広範な影響:WikiLoader は、いかなるソフトウェアであっても、本質的には信頼できないという事実を痛感させるものだ。強固なセキュリティの実践、予期せぬリンクに対する懐疑心、強固なパスワード管理は、今日のデジタル環境では不可欠である。

多くの人たちに愛される Notepad++ がピンチです。つい先日の 2024/04/08 にも、「Notepad++ からの SOS:模倣サイトをシャットダウンしてほしい!」という記事があり、ちょっと心配していたところです。双方に、関連性はないと思いますが、いずれにしても、早く収束してほしいです。よろしければ、Notepad++ で検索も、ご利用ください。