マイクロソフトの研究者は、WhatsAppの添付ファイルを悪用してWindows スクリプトを潜り込ませ、攻撃者がリモート制御権を獲得できるようにする攻撃キャンペーンを発見した。
WhatsAppは、Windows デスクトップアプリを提供しており、ユーザーはこれをモバイル端末と同期させることができます。WhatsAppのデスクトップ版は、主にモバイルアプリの拡張機能として利用されており、主たるプラットフォームとして使われることはあまりありません。そのため、これらのアプリは広く利用されていますが、モバイルプラットフォームと比較すると、その普及率はかなり低いと考えられます。
昨年、当社は、バージョン2.2450.6以前のすべてのWhatsAppに存在していた、攻撃者がWindows 任意のコードを実行できる脆弱性をMetaが修正したことについて記事で取り上げました。
しかし、マイクロソフトが発見した攻撃は、もっぱらソーシャルエンジニアリングに依存したものです。標的は、一見無害に見えるWhatsAppの添付ファイルを受け取りますが、実際にはWindows .vbs(VisualBasic )ファイルです。
攻撃者が被害者を説得してWindowsそのファイルを実行させることができれば、スクリプトはWindows 組み込みWindows 隠しフォルダにコピーし、一見無害に見えるよう、それらに誤解を招くような名前を付けます。
これらのツール自体は正当なものではありますが、マルウェアをダウンロードするために悪用されています。これは、スキャンで検出されてしまうマルウェアのバイナリを導入する代わりに、システム上にすでに存在するリソースを利用する、典型的な「リビング・オフ・ザ・ランド(LOTL)」の手法です。
以下のスクリプトは、主要なクラウドプロバイダーから取得したものです。そのため、ネットワークトラフィックは、不審なサーバーへのアクセスではなく、AWS、Tencent Cloud、またはBackblazeへの通常のアクセスのように見えます。
その他のアラームを無効にするため、このマルウェアは繰り返し管理者権限の取得を試み、UAC(ユーザー アカウント コントロール)の警告メッセージやレジストリ設定を改変することで、システムレベルの変更をユーザーに気付かれずに実行し、再起動後も存続できるようにします。
感染の最終段階では、署名のないMSI(Microsoft Installer)ファイルによってリモートアクセスソフトウェアやその他のペイロードがインストールされ、攻撃者はそのマシンやデータに対して継続的かつ直接的なアクセス権限を獲得します。
安全に過ごすには
一般ユーザーや小規模事業者の方々が安全を確保するために、いくつかの実用的な対策があります:
- 信頼できる情報源から安全であることを確認するまでは、見知らぬ送信元からの添付ファイルを開かないでください。
- エクスプローラーで「ファイル名の拡張子を表示する」をオンにすると、画像ファイルと偽って表示されるものの、拡張子が .vbs や .msi であるファイルを識別できるようになります。
- 最新のリアルタイムマルウェア対策ソリューションを使用して、不正な接続を阻止し、悪意のあるファイルを特定してください。
- ソフトウェアは必ずベンダーの公式サイトからのみダウンロードし、インストーラーにデジタル署名があることを確認してください。
- 警告サインを見逃さないでください。予期せぬUAC(ユーザーアカウント制御)の警告が表示されたり、新しいソフトウェアが突然現れたり、WhatsAppの添付ファイルを開いた後にパソコンの動作が重くなったりした場合は、すべてマルウェア対策ソフトによるスキャンを行うべき理由となります。必要に応じて、クリーンなバックアップから復元できるよう準備しておきましょう。
- 既知の脆弱性を悪用されないよう、Windows すべてのアプリケーションを常に最新の状態に保ってください。
脅威を報告するだけでなく、取り除く
サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。
