Malwarebytesは、「Emotet adopts Microsoft OneNote attachments」において、マルウェア「Emotet」を広める手段としてMicrosoft OneNoteの添付ファイルを利用する手法が確認されたと伝えた。この手法では、Emotetへの感染につながるスクリプトファイルをOneNoteドキュメントの添付ファイルとして埋め込み、標的のユーザーをだましてファイルをダブルクリックさせるという。
従来、Emotetを使った攻撃手法としてはMicrosoft Officeドキュメントのマクロ機能を利用するものが多かった。Microsoftは、インターネットからダウンロードしたOfficeドキュメントにおいてマクロの実行をブロックすることで、Emotetの感染拡大に対抗する施策を実施している。この対策によって、Emotetを使う攻撃者は攻撃手法の変更を余儀なくされており、OneNoteの利用もその一つとMalwarebytesの研究者は指摘する。
今回確認されたOneNoteドキュメントでは、ドキュメントが保護されていることを示す偽の通知を表示し、ユーザーが詳細を確認しようとして[View]ボタンをダブルクリックすると、添付のスクリプトが実行される仕組みだという。これによってWindowsスクリプトエンジン(wscript.exe)が起動し、リモートサイトからEmotetのペイロードをダウンロードして標的のPCに感染させる。
-
OneNoteの添付ファイルを利用してEmotetに感染させる
Emotetは2022年初めに欧米当局によって一度は無効化されたが、活動を再開し世界中で被害が拡大している。Microsoftの対策によってOfficeドキュメントのマクロを悪用した攻撃は下火になっていくことが期待される。しかしOneNoteの例を見ても、攻撃者がさまざまなビジネスアプリケーションを利用して感染への足掛かりを得ることに成功しているとMalwarebytesは指摘する。そのため、引き続きこの凶悪なマルウェアへの警戒を緩めることはできなそうだ。
