Malwarebytesは2月5日(米国時間)、「Open the wrong “PDF” and attackers gain remote access to your PC｜Malwarebytes」において、間違ったPDFファイルを開くとマルウェアに感染する可能性があるとして、注意を呼び掛けた。

攻撃者はPDFファイルを装う仮想ディスクファイルを配布し、マルウェアを展開したという。

仮想ディスクファイルを悪用する戦術

仮想ディスクファイルはハードディスクドライブ(HDD: Hard Disk Drive)などの物理ディスクを表現するファイル形式だ。さまざまなフォーマットが存在し、光学ディスク(DVDなど)を表現するISOイメージファイルなどもある。Windows 11では標準でVHDXおよびVHDファイルフォーマットに対応し、Proエディションの場合は設定アプリからファイルを作成することができる。

今回Securonix脅威リサーチチームが特定したマルウェア配布のキャンペーン「Dead#Vax」では、この仮想ディスクファイルが悪用された。このキャンペーンの初期の感染経路はフィッシングメールとされる。

侵害経路

フィッシングメールに仮想ディスクファイルなどの添付ファイルは存在しないが、IPFS(InterPlanetary File System)と呼ばれる分散ファイルシステム上にホストされたファイルへのリンクが記載されている。IPFSはHTTP(パブリックゲートウェイ)経由で簡単にアクセス可能かつコンテンツの削除は困難(キャッシュの維持)という特徴があり、近年のフィッシング攻撃にて悪用されるケースの増加が報告されている。

メールに記載されたリンク先のファイルの拡張子およびアイコンはPDFファイルだが中身はVHDファイルとされる。ユーザーがこのファイルを開くとWindowsは仮想ディスクファイルをマウント(ソフトウェア上の接続処理)し、新しいドライブとして認識する。

新しいドライブが接続されるとエクスプローラーが起動してドライブの内容が表示される。ドライブにはドキュメントファイルに偽装したWindowsスクリプトが含まれており、これらファイルはMoTWマーク(MoTW: Mark-of-the-Web)を受け継がないことから、SmartScreenによる保護を回避して実行可能とされる。

ユーザーがドキュメントファイルに偽装したWindowsスクリプトを起動すると、多段階の感染処理が開始される。永続性を確保すると、さらに多段階のペイロード抽出処理を開始。追加の永続性の確保などを実行し、最終的に遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「AsyncRAT」をメモリ上に展開して実行する。

対策

このキャンペーンでは複数の検出回避手段や難読化処理が駆使されており、セキュリティソリューションによる検出は困難とみられる。そこで、Malwarebytesはセキュリティソリューションに依存しない次の対策の実施を推奨している。