Emotetは静かに

ほぼこもセキュリティニュース By Terilogy Worx

またやってきますよ、Emotet。
いくつもの手法で入ってこようとするEmotetや各種マルウェアですが、今回のEmotetは偽のAdobe
WindowsAppインストーラーパッケージを使う形式です。
でも少し味付けが違って、より巧妙になっています。

  • メールを盗む
  • 盗んだメールへの返信に見えるメールを送る
  • 返信のメールの文面は非常にシンプルになっている
    内容は、「Please see attached and thanks」という文面と、PDFファイルへのURLリンクのみです。
  • メール受信者がPDFへのURLリンクをクリックすると偽のGoogleドライブに移動する
  • 移動先で、「Preview PDF」ボタンが表示され、いかにもそのボタンをクリックするとPDFが見えるように表示される
  • PDFのプレビューボタンの実際のリンク先は.appinstallerという拡張子のファイルで、Windows AppInstallerのためのインストールファイルになっている
  • PDFのプレビューボタンをクリックしてWindows AppInstallerのファイルを開くことに同意すると、「AdobePDFコンポーネント」をインストールするように求める
  • この「AdobePDFコンポーネント」はマルウェアのインストーラーになっている
    正規のインストーラーではないですが、正規のAdobe
    PDFアイコン、「信頼できるアプリ」としてマークする有効な証明書、および偽の発行元情報を持っています。
    非常にリアルなので、見た目で怪しいものと判別できる人はまずいないと思われます。
  • インストーラーはマルウェアをインストールし、永続化のための処理も実施する

途中まで進んでしまうと、正規のものと見分けがつかない仕上がりです。
怪しいものは開かない、だとか、送付元の人に確認を取ってから考えるとか、なるべく早い段階での注意が必要に思えます。

Emotet→TrickBotからTrickBot→Emotetへ」という記事はEmotetの新しい配布方法の例でしたが、今回の方法もEmotetの配布方法に加えられました。
油断するといつの間にかマルウェアが入ってきます。
注意していきましょう。

参考記事(外部リンク):Emotet now spreads via fake Adobe Windows App Installer packages
www.bleepingcomputer.com/news/security/emotet-now-spreads-via-fake-adobe-windows-app-installer-packages/