間違った「PDF」を開くと、攻撃者がPCにリモートアクセス可能に |Malwarebytes

「DEAD#VAX」と名付けられたキャンペーンを展開するサイバー犯罪者たちは、通常のPDF文書を装った仮想ハードディスク内にマルウェアを仕込むことで、フィッシング攻撃をさらに一歩進化させている。誤って「請求書」や「発注書」を開くと、文書は一切表示されない。Windows 仮想ドライブをWindows 、攻撃者がリモートでコンピュータを監視・制御できるバックドア型トロイの木馬「AsyncRAT」を密かにインストールする。

これはリモートアクセスツールであり、攻撃者がキーボード操作を遠隔で制御できることを意味します。一方、従来のファイルベースの防御策では、ディスク上に不審な痕跡がほとんど検出されません。

高水準の視点から見ると、感染の連鎖は長いものの、各ステップは単独では十分に正当に見えるため、大まかなチェックをすり抜ける。

被害者は、日常的なビジネスメールのように見えるフィッシングメールを受け取ります。これらのメールは購入注文書や請求書を引用することが多く、時には実在する企業を装っています。メールには直接文書が添付されていません。代わりに、IPFS（InterPlanetary File System）上にホストされたファイルへのリンクが記載されています。IPFSは分散型ストレージネットワークであり、コンテンツの削除が困難で通常のウェブゲートウェイ経由でアクセス可能なため、フィッシングキャンペーンで悪用されるケースが増加しています。

リンクされたファイルはPDFとして命名されPDFアイコンが表示されていますが、実際には仮想ハードディスク（VHD）ファイルです。ユーザーがこれをダブルクリックすると、Windows ドキュメントビューアを開く代わりに新しいドライブ（例：ドライブE:）としてWindows 。VHDのマウントは完全にWindows であるため、この手順で警戒警報が鳴る可能性は低くなります。

マウントされたドライブ内には、一見すると期待されるドキュメントのように見えるファイルが存在しますが、実際にはWindows （WSF）です。ユーザーがこれを開くと、Windows を表示する代わりに、ファイル内のコードWindows 。

分析や検出を回避するためのいくつかのチェックの後、スクリプトはペイロード（AsyncRATシェルコード）を、信頼されたMicrosoft署名付きプロセス（例： RuntimeBroker.exe, OneDrive.exe, taskhostw.exeあるいは sihost.exeマルウェアは実際の実行可能ファイルをディスクに書き込むことは決してない。正当なプロセス内部のメモリ上でのみ存在し動作するため、検出が困難となり、最終的にはフォレンジック調査もはるかに難しくなる。また、注目を集める可能性のある活動量やメモリ使用量の急激な増加も回避する。

個人ユーザーがこのフィッシングメールに騙されると、以下の結果を招く可能性があります：

保存済みおよび入力済みのパスワード（メール、銀行、ソーシャルメディアなど）Theft 。
システムから直接取得した機密文書、写真、その他の機微なファイルの漏洩。
定期的なスクリーンショットによる監視、または設定されている場合はウェブカメラによるキャプチャ。
当該マシンを足掛かりとして、同一の家庭内またはオフィスネットワーク上の他のデバイスを攻撃すること。

安全に過ごすには

検出が困難な場合があるため、ユーザーが特定の確認を適用することが極めて重要です：

信頼できる情報源で正当性を確認するまで、メールの添付ファイルを開かないでください。
実際のものが確認できることを確認してくださいファイル拡張子残念ながら、Windows それらを非表示にWindows 。したがって、実際にはファイル名は invoice.pdf.vhd ユーザーには表示されない invoice.pdfその方法については、以下を参照してください。
メモリ内に潜伏するマルウェアを検出できる、最新のリアルタイムマルウェア対策ソリューションを使用してください。