The Hacker Newsは1月13日、「Cybercriminals Using Polyglot Files in Malware Distribution to Fly Under the Radar」において、近年のマルウェアの傾向として、“polyglotファイル”と呼ばれるファイル形式が出回っているとして、注意を呼び掛けた。polyglotファイルは、2つ以上の異なるファイル形式の構文を巧みに組み合わせて、いずれのファイル形式としても実行できるようにしたもの。悪用するとファイル形式の識別に依存するマルウェア対策ツールを回避することが可能になる。

The Hacher Newsが紹介している例は、2022年に観測された「StrRAT」と呼ばれるマルウェアの配布キャンペーンだ。このキャンペーンでは、MSIインストーラ形式とJAR(Java Archive)形式の2つの形式を持つpolyglotファイルがStrRATのペイロードを展開するために使われたという。このファイルは、WindowsとJavaランタイムの両方で実行できることを意味している。

JARはZIPと同等の圧縮フォーマットであり、そのファイルの識別にはアーカイブの末尾に付加されるEOCD(End of Central Directory Record)を使用するのが正当だ。しかし、現実にはすべてのファイルを末尾までスキャンしてEOCDを確認するのは実用的ではないため、ツールによっては検証が不十分な可能性がある。もし、JAR形式の検証が不十分な場合、JARの性質を持つpolyglotファイルは検証をすり抜けることができる。悪意のあるpolyglotファイルは、そうやって検証をすり抜けた後で、今度はもう一つのファイル形式(MSIなど)として実行されて悪事を働くという仕組みだ。

polyglotファイルが悪用された別の例としては、CAB形式とJAR形式を組み合わせたケース、DLLとHTMLを組み合わせたケースなどが紹介されている。これら以外にも、2022年10月にPaloalto Networksによって報告された「IcedID」と呼ばれるマルウェアを配布するキャンペーンでは、CHM形式(Windows用のヘルプファイル)とHTA(HtmlApplication)形式を組み合わせたpolyglotファイルが使われたことが分かっている(参考サイト: そのCHMには裏がある: IcedIDを配布するポリグロットCHMファイルの解析)。

サイバー犯罪者が攻撃の糸口をつかむために使用する手段は年を追うごとに多様化・複雑化している。被害を回避するには、常に最新の動向をチェックし、適切な対策が行えているかを継続的に確認する体制が必要となる。