攻撃者がIRSフィッシングメールを送信しEmotettマルウェアをインストール

セキュリティ研究者がMalwarebytesとPalo Alto NetworksのUnit 42で発見したところによると、Emotetマルウェアが偽のW-9税務フォームの添付ファイルを含むフィッシングメールでユーザーを標的にしています。

Emotetは、マルウェアをインストールする悪意のあるマクロを含むMicrosoft WordおよびMicrosoft Excel文書を通じて配布される悪名高いマルウェア感染です。

しかし、Microsoftが現在、ダウンロードされたMicrosoft Word文書のマクロをデフォルトでブロックするため、Emotetマルウェアは埋め込まれたスクリプトを使用してMicrosoft OneNoteに移行しました。

Emotetを運営する攻撃者は、一般的にホリデーシーズンや年次税務申告、つまり米国の税シーズンに合わせたテーマのフィッシングキャンペーンを使用します。Malwarebytesによって発見されたフィッシングキャンペーンでは、攻撃者は「TRS Tax form W-9」という件名のメールを送信し、内部収入サービスの権威を装っています。

読む: 高度な監視攻撃に使用される一般的なマジックおよびパワーマジックマルウェア

これらのフィッシングメールには、悪意のあるWord文書を含むW-9 form.zipという名前のZIPアーカイブが含まれています。この文書は、セキュリティソフトウェアが悪意のあるものであるかどうかを検出しにくくするために500MBに膨れ上がっています。

Emotetがインストールされると、マルウェアは被害者のメールを盗み、将来のリプレイチェーン攻撃のために使用し、その後、メールをスパムし、最終的には他のマルウェアをインストールして他の脅威アクターへの初期アクセスを提供します。

つまり、Microsoftが現在マクロをデフォルトでブロックしているため、ユーザーはマクロを有効にしてWord文書に感染する苦痛を経験する可能性が低くなっています。

現在、Palo Alto Unit 42によって発見されたフィッシング活動では、攻撃者はマルウェアをインストールするためにVBScriptファイルを有効にしたMicrosoft OneNote文書を使用してこれらの制限を回避しています。

その後、フィッシング活動はリプレイチェーンメールを利用し、ビジネスパートナーを装って被害者にW-9フォームを送信します。

添付されたOneNote文書は、保護されていると信じ込ませ、ユーザーに文書を正しく表示するためにダブルクリックするように要求しますが、内部に隠されているのは、代わりに起動されるVBScriptsを含む表示ボタンです。

埋め込まれたVBScriptファイルを開くと、Microsoft OneNoteはユーザーにそのファイルが悪意のあるものである可能性があると警告しますが、残念ながら、多くのユーザーはこれらの警告を無視し、ファイルの実行を許可します。ファイルが実行されると、VBScriptはEmotet DLLをダウンロードし、regsvr32.exeを使用して実行します。

その後、マルウェアはバックグラウンドで静かに実行され、メールや連絡先を盗み、デバイスにさらなるペイロードがインストールされるのを待ちます。

したがって、W-9フォームや他の税務フォームがあると主張するメールを受け取った場合は、まずアンチウイルスソフトウェアで文書をスキャンしてください。

さらに、これらのフォームはPDF添付ファイルとして送信され、Word添付ファイルとしてではないため、開いてマクロを有効にすることを避け、むしろメールを削除してください。

読む: Fortinetサイバーセキュリティ更新が失敗; ゼロデイが脅威アクターによって悪用される