Malwarebytesは3月2日(米国時間)、「Purchase order attachment isn’t a PDF. It’s phishing for your password|Malwarebytes」において、PDF形式の注文書に偽装したHTMLファイルを配布するフィッシング攻撃に注意を喚起した。

このHTMLファイルを開くとパスワードの入力を求められ、パスワードを入力するとネットワーク情報や位置情報などと共に窃取されるという。

  • Purchase order attachment isn’t a PDF. It’s phishing for your password|Malwarebytes

    Purchase order attachment isn’t a PDF. It’s phishing for your password|Malwarebytes

二重の拡張子に警戒を

この攻撃は二重の拡張子が付いたHTMLファイルをメールに添付する特徴があるという。Malwarebytesが公開したフィッシングメールからは商品の購入を検討する本文に加え、添付ファイル「New PO 500PCS.pdf.hTM」の存在を確認できる。

  • PDFファイルに偽装したHTMLファイルを送付するフィッシングメールの例 - 引用:Malwarebytes

    PDFファイルに偽装したHTMLファイルを送付するフィッシングメールの例 引用:Malwarebytes

拡張子に「.pdf」と「.hTM」の2つを使用しているが、一般的にシステムが認識する拡張子は最後尾のため、「.hTM」がファイルの拡張子となる。拡張子に大文字・小文字の区別はないことから、これは「.html」を3文字表記に短縮したHTMLファイルだとわかる。

このファイルを開くとWebブラウザが起動し、HTMLファイルに記載されたコンテンツが表示される。今回Malwarebytesはコンテンツの詳細を明らかにしていないが、最終的にパスワードの入力画面が表示されるという。公開された入力画面にはPDFファイルのアイコンおよびユーザーのメールアドレスが表示されており、Adobeアカウントの窃取を試みた可能性がある。

  • HTMLファイルを開くと表示されるパスワード入力画面の例 - 引用:Malwarebytes

    HTMLファイルを開くと表示されるパスワード入力画面の例 引用:Malwarebytes

ユーザーがパスワードを入力すると、1度目は失敗し、2度目に成功する。これは誤入力によるパスワードの窃取失敗を回避する目的があるとみられる。2度目のパスワードを入力すると、「ibb[.]co」でホストされたメールの内容と関係のない請求書が表示され、バックグラウンドで次の情報が窃取される。

  • メールアドレス
  • パスワード
  • IPアドレス
  • 位置情報
  • WebブラウザおよびOSなどの環境情報

素人の攻撃手法に見えるが、警戒の継続は必要

一般的にユーザーが二重の拡張子を使用するメリットはない。そのため、知識のあるユーザーはファイル名を見ただけで攻撃を看破できる可能性が高い。

無駄に見える攻撃手法だが、Malwarebytesは「素人の攻撃に見えるかもしれないが、ゼロに近い投資で利益を得られる」と述べ、成功率の低さを無視した利益のある手法と指摘している。

回避されることを考慮せず、大量に送信することで利益をつかみ取ろうとする戦術であり、今後も蔓延することが予想されている。対策としては、多要素認証(MFA: Multi-Factor Authentication)の設定、Webブラウザーを保護できるセキュリティソリューションの導入などが推奨されている。

二重の拡張子はそれだけで脅威のシグナルとなる。エクスプローラーの設定を見直し、拡張子を常時表示する設定に変更することも対策になる。簡単に回避できる攻撃と高をくくらず、警戒を続けることが望まれている。