Microsoftの「Windows 10」のアプリインストール機能を悪用し、「BazarBackdoor」マルウェアを拡散させるという新たなフィッシングキャンペーンが展開されているという。
Sophos Labsのリサーチャーらが米国時間11月11日に明らかにしたところによると、この攻撃に気付いたきっかけは、同社従業員の元に届いたスパム電子メールだったという。これら電子メールはよく見かけるありきたりのスパムではなく、少なくとも基本的なソーシャルエンジニアリングに基づいたものだった。
これらスパムの1通は、「Sophos Main Manager Assistant」(Sophosのメインマネージャーアシスタント)という実在すらしない肩書きの「Adam Williams」なる人物から送られてきたものであり、顧客からの苦情にまだ応答を返していない理由を問いただす内容だった。そしてこのメールには、顧客からの苦情を記したPDFファイルがあるとするページへのリンクが含まれていた。
そしてこのリンク先のページに、BazarBackdoorマルウェアを配布するための「新手のテクニック」を用いた「わな」が仕掛けられていた。
悪意あるペイロードを送り込むためにWindows 10のアプリインストーラーを悪用するというこの手法について、Sophosは少なくとも同社にとって「なじみのない」ものだとしている。
その流れは以下の通りだ。このフィッシング攻撃は、標的とした相手をAdobeのロゴが描かれたウェブサイトに誘導し、PDFファイルのプレビューボタンをクリックするよう求める。しかし、そのボタン上にマウスポインターを移動させると、リンク先であるURLの直前に「ms-appinstaller:〜」という接頭辞が表示される。
提供:Sophos
SophosのリサーチャーであるAndrew Brandt氏は「実際の感染過程を追跡する中で私は、このURL構成によってブラウザー(私の環境ではWindows 10の「Microsoft Edge」)が「AppInstaller.exe」というツールを起動することに気付いた。これは「Windows Store」アプリケーションが使用するツールであり、リンクの先にあるものが何であれ、ダウンロードし、実行するというものだ」と説明した。
そして、このリンク先は「Adobe.appinstaller」という名前のテキストファイルとなっており、これ自体はまた別のURLで示されている「Adobe_1.7.0.0_x64.appxbundle」というより大きなファイルを参照している。
ユーザーが問題のボタンをクリックすると、警告プロンプトが表示される。またデジタル署名をチェックすると、当該ソフトウェアは数カ月前に発行された証明書によって署名されたものだと表示される(Sophosは、該当認証局(CA)に対してこの不正使用を通知済みだ)。
標的とされたユーザーが警告プロンプトの「Open」ボタンを押すと、「Adobe PDF Component」のインストールを求めるプロンプトが表示される。この要求に応じると、BazarBackdoorというマルウェアがものの数秒でインストール、実行される。
BazarBackdoorは、HTTPSを介して通信するという点で「BazarLoader」と類似のマルウェアと言えるが、バックグラウンドで生成するトラフィック量が多いという特徴を有している。また、BazarBackdoorはシステムデータを流出させる能力を有しており、「Trickbot」との関連や、ランサムウェアの「Ryuk」を配備する可能性についても指摘されている。
Brandt氏は、「アプリケーションインストーラーバンドルを悪用するマルウェアは攻撃で一般的に見られるものではない」と言う。「残念ながら、このプロセスが実証されたため、広範な関心を集める可能性が高い。セキュリティ企業やソフトウェアベンダーは、保護メカニズムを整え、検出、ブロックして、攻撃者がデジタル証明書を乱用しないよう防ぐ必要がある」(Brandt氏)
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。