Remcos RAT がフィッシング経由で拡散中:戦術は “.pif” ファイルの悪用と UAC バイパス

Hackers Deliver Remcos Malware Via .pif Files and UAC Bypass in Windows

2025/06/30 gbhackers — DBatLoader マルウェアを介して、Remcos リモート・アクセス型トロイの木馬 (RAT:Remote Access Trojan) が配信する、高度なフィッシング・キャンペーンが確認されている。ANY.RUN のインタラクティブ・サンドボックスで解析された、この攻撃チェーンは、UAC (User Account Control) バイパス技術/不明瞭化されたスクリプト/LOLBAS (Living Off the Land Binaries and Scripts) の悪用/永続化メカニズムなどを組み合わせ、検出を回避しながらシステムへの侵入を図るものだ。

このキャンペーンはフィッシング・メールから始まるが、そこに添付されたアーカイブには、FAKTURA という名前の悪意の実行ファイルが格納されている。このファイルが実行されると、DBatLoader が起動し、Windows システムに対する多層的な攻撃の準備が整う。

この攻撃が特に悪質なのは、古い “.pif” (Program Information File) ファイルを使用している点だ。このファイルは、初期の Windows バージョンで DOS ベースのプログラムをコンフィグするために設計されたものだ。

この “.pif” ファイルは、正当な用途では使われないレガシーなものであるが、現在の Windows でも実行が可能であり、これを悪用する攻撃者は、警告ダイアログを回避しながら、マルウェアを偽装し実行できるという。

UAC バイパスと回避技術の詳細

この攻撃メカニズムを深く掘り下げた結果として判明したのは、DBatLoader が “alpha.pif” (Portable Executable) などの “.pif” ファイルを悪用し、たとえば “C:\Windows ” (末尾のスペースに注意) のような偽装ディレクトリを作成することで、UAC をバイパスする点である。

Remcos Malware
Trailing spaces allow attackers to abuse Windows’s folder name handling 

上記の Windows フォルダ名の巧妙な操作により、このマルウェアはステルス性を維持しながら特権を取得すると、Any.Run レポートは指摘している。

さらに、このキャンペーンで採用される戦術には、PING.EXE を用いてローカル・ループバック・アドレス (127.0.0.1) に対して複数回 ping を送信し、人工的な遅延を引き起こすことで、タイム・ベースの検出メカニズムを回避するものもある。このテクニックは、リモート・システム検出ツールとして機能する場合もある。

さらに、悪意の “svchost.pif” ファイルが、”NEO.cmd” 経由でのスクリプト実行により “extrac32.exe” を操作しすることで、Windows Defender の除外リストに特定のパスを追加し、マルウェアの検出を回避していく仕組みも確認された。

“Cmwdnsyn.url” ファイルを起動するスケジュール・タスクにより、再起動時にも “.pif” 形式のドロッパーが実行されることで、このマルウェアの永続化/生存性が確保される。

最終的なペイロードである Remcos RAT は、BatCloak などのツールにより難読化された、”.cmd “スクリプトを経由して配信されるため、その解析は困難になっている。さらに、SndVol.exe/colorcpl.exe などの信頼されたプロセスの中に、自身をインジェクションする Remcos は、システム内に自然に溶け込んでいく。

仮想サンドボックスでのプロアクティブな検出

従来からのシグネチャ・ベースの防御では、このような難読化や OS の標準機能を悪用する、多段階攻撃に対して不十分となることが多い。

Remcos Malware
Obfuscation complicates the analysis for security professionals 

セキュリティ専門家たちが推奨するのは、Windows/Android/Linux システムに対応する、ANY.RUN のインタラクティブ・サンドボックスのような安全な仮想環境で、疑わしいファイルをプロアクティブに実行することである。

このクラウドベースのプラットフォームは、40秒以内にマルウェアを検出することで、脅威分析を大幅に加速し、SOC チームのインシデント対応時間を短縮する。また、不審なファイルや URL を隔離することで、企業インフラへのリスクを防止しながら、脅威に対する手動でのインタラクションを可能にするため、より深い洞察が得られていく。

したがって、異常なファイルパスの監視/不正プロセスを追跡/ネットワーク接続の分析を介して、エンドポイント・セキュリティを強化するための、侵害の指標 (IOC) を取り込んだ詳細レポートを、アナリストたちは生成できるようになる。

この種のアプローチにより検出率が向上するが、それに加えて、アクセス・レベルのコンフィグレーションと効率化も達成される。したがって、チーム・コラボレーションが促進され、脅威リスクを軽減するコスト効果の高いソリューションが実現されていく。

この記事のソースである ANY.RUN のレポートでは、DBatLoader を使って Remcos RAT を配信するきわめて巧妙なフィッシング攻撃の仕組みが解説されています。古くてあまり使われないファイル形式 (.pif) の悪用や、Windows の機能の隙を突いて、このマルウェアは気づかれずにシステムに入り込むと、この記事は指摘しています。よろしければ、Malware + Windows で検索も、ご参照ください。