Windowsのワードパッドにマルウェアを仕込む「QBot」、新たな攻撃確認

Bleeping Computerは5月27日(米国時間)、「QBot malware abuses Windows WordPad EXE to infect devices」において、QBotマルウェアを配布する新たなフィッシングキャンペーンが展開されているとして、注意を呼び掛けた。DLLハイジャックと呼ばれる攻撃手法を用いてコンピュータにマルウェアを感染させる脅威が報告されている。

Androidスマートフォンの指紋認証、数時間で解読できる脆弱性

QBot（またはQakbot）はWindowsマルウェアの一種でバンキング型トロイの木馬として登場し、後にマルウェアドロッパーの役割も担うよう進化した悪意のあるプログラム。Black Basta、Egregor、Prolockといったランサムウェアグループなどがこのマルウェアを利用し、企業ネットワークへの初期アクセスを成功させ、恐喝を行うとされている。

DLLハイジャックは攻撃者が正規のDLLと同名の悪意のあるDLLを作成し、そのファイルをWindowsの初期検索パス(通常は実行ファイルと同じフォルダ)に配置するサイバー攻撃。ユーザーが実行ファイルを起動すると、正規のDLLの代わりに脅威者が作成したDLLが読み込まれ、その中に含まれる悪意のあるコマンドが実行される仕組みとなっている。

セキュリティ専門家によりWindows 10のワードパッドを悪用し、DLLハイジャックを行う新たなQBotフィッシングキャンペーンが展開されていることがわかった。フィッシングメールにはファイルをダウンロードするためのリンクが含まれており、リンクをクリックするとランダムな名前のZIPアーカイブがダウンロードされるという。

ZIPファイルにはdocument.exeとedputil.dllという2つのファイルがアーカイブされており、document.exeはWindows 10のワードパッドを起動するためのファイルとされ、edputil.dllはDLLハイジャックに使用されるDLLファイルであることが判明している。document.exeを実行するとワードパッドの正規のDLLファイルではなく、代わりにedputil.dllが実行され、バックグラウンドでQBotが実行されてしまうとのことだ。

DLLハイジャックが用いられた背景として、脅威者がWindows 10の信頼性の高いプログラムであるワードパッドを悪用することでセキュリティソフトウェアによる検出を回避できると見込んだと考えられている。

企業や組織は不審なメールや正規のURLではないランディングページやWebサイトに誘導してくるメールなどに注意し、メール内のリンクをクリックしたり、添付ファイルを開いたりしないことが望まれている。