またやってきますよ、Emotet。
いくつもの手法で入ってこようとするEmotetや各種マルウェアですが、今回のEmotetは偽のAdobe
WindowsAppインストーラーパッケージを使う形式です。
でも少し味付けが違って、より巧妙になっています。
- メールを盗む
- 盗んだメールへの返信に見えるメールを送る
- 返信のメールの文面は非常にシンプルになっている
内容は、「Please see attached and thanks」という文面と、PDFファイルへのURLリンクのみです。 - メール受信者がPDFへのURLリンクをクリックすると偽のGoogleドライブに移動する
- 移動先で、「Preview PDF」ボタンが表示され、いかにもそのボタンをクリックするとPDFが見えるように表示される
- PDFのプレビューボタンの実際のリンク先は.appinstallerという拡張子のファイルで、Windows AppInstallerのためのインストールファイルになっている
- PDFのプレビューボタンをクリックしてWindows AppInstallerのファイルを開くことに同意すると、「AdobePDFコンポーネント」をインストールするように求める
- この「AdobePDFコンポーネント」はマルウェアのインストーラーになっている
正規のインストーラーではないですが、正規のAdobe
PDFアイコン、「信頼できるアプリ」としてマークする有効な証明書、および偽の発行元情報を持っています。
非常にリアルなので、見た目で怪しいものと判別できる人はまずいないと思われます。 - インストーラーはマルウェアをインストールし、永続化のための処理も実施する
途中まで進んでしまうと、正規のものと見分けがつかない仕上がりです。
怪しいものは開かない、だとか、送付元の人に確認を取ってから考えるとか、なるべく早い段階での注意が必要に思えます。
「Emotet→TrickBotからTrickBot→Emotetへ」という記事はEmotetの新しい配布方法の例でしたが、今回の方法もEmotetの配布方法に加えられました。
油断するといつの間にかマルウェアが入ってきます。
注意していきましょう。
参考記事(外部リンク):Emotet now spreads via fake Adobe Windows App Installer packages
www.bleepingcomputer.com/news/security/emotet-now-spreads-via-fake-adobe-windows-app-installer-packages/
| この記事をシェア |
|
|---|
