今時のEmotet

たくさんのマルウェアが登場します。
そして既存のマルウェアはどんどん更新されてきます。
Emotetはその悪名が知れ渡った後、多くの環境で対策されてきました。
しかしそれでもなお、Emotetの更新は継続され、新しいものが投入され続けています。

最近のEmotetの更新点を見てみましょう。

• 感染動作ができる可能性向上の作戦
  これは機能が実装されたというよりも作戦が追加されたという感じでしょうか。
  Excelのマクロを動作させることによってEmotetに感染させる作戦は従来の通り変わりありません。
  しかしそのマクロを実行させるための方法が変更されています。
  従来はMark-of-the-Webフラグの対応のため、マクロの実行を許可するというボタンをユーザにクリックさせる必要がありました。
  これはユーザの中でのセキュリティ意識の向上によってクリックさせることのできる可能性が低下してきています。
  なので、この部分を変更してきました。
  マクロの実行を許可するボタンをクリックさせるのではなく、Excelのファイルそのものを指定の場所に移動して開きなおすことを指示する文面を表示する作戦をとりました。
  これはどういう意味なのでしょう。
  Excelにはテンプレートフォルダーという機能があります。
  所定のPATHに置かれたExcelファイルはテンプレートとしての機能を活かすためにマクロの制限機構が動作しないようになっていることを逆手に取った作戦です。
  テンプレートフォルダーに移動してExcelファイルを開きなおしてもらえれば、攻撃者は侵害先のユーザにマクロの実行を許可するボタンをクリックさせる必要がなくなります。
  これが新しい感染動作の可能性向上作戦です。
• 横展開用SMBスプレッダー機能の追加
  横展開のために利用できる新機能が追加されています。
  マルウェアの中にハードコーディングされたユーザ名とパスワードの組み合わせを使って、侵害環境で利用できる認証情報を探ります。
  ブルートフォースを侵害機器から展開します。
• クレジットカードスティーラー機能の追加
  情報摂取機能も追加されています。
  侵害環境で利用できる可能性の高いブラウザであるChromeを標的にします。
  Chromeの利用するデータファイルを読み取り、そこに含まれるカードの名義情報やカード番号や有効期限などを読み取ろうとします。

他にも、プロセスへの攻撃コードの注入手法の変更なども観測されています。

Emotetに限った話ではないと思います。
マルウェア群は手を変え品を変え忍び寄ります。
防御側も常に新しい情報に触れ、対策の強化を取り組み続けていく必要があるということでしょうか。

参考記事（外部リンク）：Emotet Returns With New Methods of Evasion
blogs.blackberry.com/en/2023/01/emotet-returns-with-new-methods-of-evasion