Malwarebytesは2月5日(米国時間)、「Open the wrong “PDF” and attackers gain remote access to your PC|Malwarebytes」において、間違ったPDFファイルを開くとマルウェアに感染する可能性があるとして、注意を呼び掛けた。

攻撃者はPDFファイルを装う仮想ディスクファイルを配布し、マルウェアを展開したという。

  • Open the wrong “PDF” and attackers gain remote access to your PC|Malwarebytes

    Open the wrong “PDF” and attackers gain remote access to your PC|Malwarebytes

仮想ディスクファイルを悪用する戦術

仮想ディスクファイルはハードディスクドライブ(HDD: Hard Disk Drive)などの物理ディスクを表現するファイル形式だ。さまざまなフォーマットが存在し、光学ディスク(DVDなど)を表現するISOイメージファイルなどもある。Windows 11では標準でVHDXおよびVHDファイルフォーマットに対応し、Proエディションの場合は設定アプリからファイルを作成することができる。

  • 設定アプリからVHD(X)ファイルを作成する

    設定アプリからVHD(X)ファイルを作成する

今回Securonix脅威リサーチチームが特定したマルウェア配布のキャンペーン「Dead#Vax」では、この仮想ディスクファイルが悪用された。このキャンペーンの初期の感染経路はフィッシングメールとされる。

侵害経路

フィッシングメールに仮想ディスクファイルなどの添付ファイルは存在しないが、IPFS(InterPlanetary File System)と呼ばれる分散ファイルシステム上にホストされたファイルへのリンクが記載されている。IPFSはHTTP(パブリックゲートウェイ)経由で簡単にアクセス可能かつコンテンツの削除は困難(キャッシュの維持)という特徴があり、近年のフィッシング攻撃にて悪用されるケースの増加が報告されている。

メールに記載されたリンク先のファイルの拡張子およびアイコンはPDFファイルだが中身はVHDファイルとされる。ユーザーがこのファイルを開くとWindowsは仮想ディスクファイルをマウント(ソフトウェア上の接続処理)し、新しいドライブとして認識する。

新しいドライブが接続されるとエクスプローラーが起動してドライブの内容が表示される。ドライブにはドキュメントファイルに偽装したWindowsスクリプトが含まれており、これらファイルはMoTWマーク(MoTW: Mark-of-the-Web)を受け継がないことから、SmartScreenによる保護を回避して実行可能とされる。

ユーザーがドキュメントファイルに偽装したWindowsスクリプトを起動すると、多段階の感染処理が開始される。永続性を確保すると、さらに多段階のペイロード抽出処理を開始。追加の永続性の確保などを実行し、最終的に遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「AsyncRAT」をメモリ上に展開して実行する。

対策

このキャンペーンでは複数の検出回避手段や難読化処理が駆使されており、セキュリティソリューションによる検出は困難とみられる。そこで、Malwarebytesはセキュリティソリューションに依存しない次の対策の実施を推奨している。

  • メールの正当性が確認できるまで、添付ファイルおよびリンクは開かない
  • エクスプローラーの設定を変更し、ファイルの拡張子を常に表示する。アイコンとファイル拡張子の齟齬が確認できる場合や、複数のファイル拡張子が確認できるファイルは開かない