Threat Actors Leveraging Foxit PDF Reader to Gain System Control and Steal Sensitive Data
2025/12/04 CyberSecurityNews — 悪意のファイルを正規の採用書類に偽装するサイバー犯罪者たちが、求職者のコンピュータにマルウェアを潜入させるために巧妙な手法を用いている。ValleyRAT と呼ばれる新たな攻撃キャンペーンは、偽の求人情報や企業資料を添付したメール・メッセージを通じて、求職活動中の人々を標的としている。この攻撃キャンペーンの主な手口は、人気の Foxit PDF Reader の武器化と悪用にある。
この攻撃は、”Overview_of_Work_Expectations.zip” や “Candidate_Skills_Assessment_Test.rar” といった、一見するとプロフェッショナルな印象を与える名前の圧縮アーカイブ・ファイルを介して拡散する。それらのファイルを、何も知らない求職者が開くと、秘密裏に RAT (remote access trojan) がシステムに侵入する。
それぞれの悪意のアーカイブ・ファイルには、本物の Foxit アプリケーションを装う実行ファイルが隠されており、プログラムの正規のアイコンも表示されている。
.webp)
見慣れた PDF アイコンを参照するユーザーは、単純な文書を開いていると思い込むが、そのファイルにコンピュータを乗っ取るためのマルウェアが隠されている。
さらに、このサイバー犯罪者は、DLL サイドローディングと呼ばれる技術的な手法を用いて、ユーザーに警告を発することなく不正なペイロードを起動する。
Trend Micro のセキュリティ研究者たちは、10月下旬に ValleyRAT の検出数が急増したことで、この巧妙な攻撃キャンペーンを特定した。このマルウェアの成功は、複数の攻撃手法をシームレスに連携させている点にあるという。
.webp)
偽のフォルダと隠しディレクトリにより、複雑な構造を作り出し、マルウェア検出を回避しやすくしている。このマルウェアが起動すると、ユーザーが画面上で本物の求人情報を閲覧している間に、マルウェアがバックグラウンドで静かに実行される。
就職活動における精神的なストレスにつけ込むソーシャル・エンジニアリングにより、ダウンロードに対するユーザーの警戒心を緩める手口が用いられている。
感染チェーンの理解
この感染プロセスは、綿密に計画された一連のシーケンスを通じて展開される。ユーザーが Foxit の実行ファイル (ファイル名が変更されたもの) をクリックすると、Windows のファイル検索メカニズムを介して、悪意のライブラリ “msimg32.dll” が自動的に読み込まれる。
.webp)
それにより、無害に見える文書ファイル内に隠された、Python 環境を抽出するためのバッチ・スクリプトが起動される。その後に、Python インタープリタはシェルコードを含む悪意のあるスクリプトをダウンロードして実行し、最終的に ValleyRAT トロイの木馬の完全版を展開する。
このマルウェアは、システムの再起動後も生き残るために、レジストリ・エントリーを作成し永続性を確立する。
ValleyRAT がインストールされると、攻撃者は侵入したマシンを完全に制御できるようになる。このトロイの木馬が提供する機能は、ユーザー・アクティビティの監視/Web ブラウザから機密情報の窃取/感染システムからの重要データの抽出などである。
このマルウェアの狙いは、一般的なブラウザに保存されているパスワード情報とログイン認証情報の標的化であり、金融セキュリティと個人情報の保護において重大な脅威となっている。
このキャンペーンは、より広範な対象者に向けて継続的に展開されているが、求職者と人事担当者が引き続き主なターゲットとなっている。
求職者が安心して開いてしまいそうな求人関連のファイル名を悪用し、偽装された Foxit 実行ファイルを通じてマルウェアを侵入させるという、新たなキャンペーンが展開されているようです。偽の Foxit PDF Reader と DLL サイドローディングを介して、不正な処理を動かす仕組みが巧妙であり、ユーザーには気づきにくい構造となっていますので、ご注意ください。よろしければ、Foxit での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.