Windowsの検索プロトコルを悪用してマルウェア配布するサイバー攻撃に注意

画像提供：マイナビニュース

Trustwaveはこのほど、「Search & Spoof: Abuse of Windows Search to Redirect to Malware」において、Windowsの「search:アプリケーションプロトコル」を悪用してマルウェアを配布するサイバー攻撃のキャンペーンを発見したと伝えた。

Trustwaveの調査では途中のペイロードの取得に失敗しており、最終的に配布されるマルウェアは特定できていないが、初期の侵害経路は特定できたとして詳細を公開している。

○「search:アプリケーションプロトコル」とは

Windowsのsearch:アプリケーションプロトコルは、Windows Vista with Service Pack 1(SP1)から導入された機能。Windowsがデフォルトの検索アプリケーションを決定して呼び出す仕組みを定義している(参考：「Using the search Protocol - Win32 apps | Microsoft Learn」)。この機能はエクスプローラー、Microsoft Edge、Google Chrome、「ファイル名を指定して実行」などから利用することができる。
○侵害経路

今回確認されたキャンペーンでは、請求書の送付などを装った偽のメールが使用される。メールにはアーカイブファイルが添付されており、このファイルにはHTMLファイルが含まれている。

ユーザーが請求書を閲覧するためにHTMLファイルを開くと、search:アプリケーションプロトコルへ自動的にリダイレクトされ、Microsoft Edgeはエクスプローラーを開こうとする。通常、Microsoft Edgeはエクスプローラーを開く前に警告を表示するため、ここでキャンセルを選択すれば問題はない。

エクスプローラーを開くことに同意した場合、Microsoft Edgeはエクスプローラーを開き、エクスプローラーは指定されたリモートのサーバーからファイルを検索してその結果を表示する。今回の調査においては「INVOICE」というファイルが検索され、同名のショートカットファイルが表示される。このショートカットファイルはリモートサーバー上のバッチファイルを指しており、ショートカットファイルを開くとバッチファイルが実行される。

Trustwaveはここでバッチファイルのダウンロードおよび実行に失敗している。バッチファイルのダウンロードに失敗した理由はわかっておらず、攻撃者が故意に攻撃を中止した可能性がある。
○対策