Windowsの検索プロトコルを悪用してマルウェア配布するサイバー攻撃に注意
マイナビニュース / 2024年6月17日 9時16分
Trustwaveはこのほど、「Search & Spoof: Abuse of Windows Search to Redirect to Malware」において、Windowsの「search:アプリケーションプロトコル」を悪用してマルウェアを配布するサイバー攻撃のキャンペーンを発見したと伝えた。
Trustwaveの調査では途中のペイロードの取得に失敗しており、最終的に配布されるマルウェアは特定できていないが、初期の侵害経路は特定できたとして詳細を公開している。
○「search:アプリケーションプロトコル」とは
Windowsのsearch:アプリケーションプロトコルは、Windows Vista with Service Pack 1(SP1)から導入された機能。Windowsがデフォルトの検索アプリケーションを決定して呼び出す仕組みを定義している(参考:「Using the search Protocol - Win32 apps | Microsoft Learn」)。この機能はエクスプローラー、Microsoft Edge、Google Chrome、「ファイル名を指定して実行」などから利用することができる。
○侵害経路
今回確認されたキャンペーンでは、請求書の送付などを装った偽のメールが使用される。メールにはアーカイブファイルが添付されており、このファイルにはHTMLファイルが含まれている。
ユーザーが請求書を閲覧するためにHTMLファイルを開くと、search:アプリケーションプロトコルへ自動的にリダイレクトされ、Microsoft Edgeはエクスプローラーを開こうとする。通常、Microsoft Edgeはエクスプローラーを開く前に警告を表示するため、ここでキャンセルを選択すれば問題はない。
エクスプローラーを開くことに同意した場合、Microsoft Edgeはエクスプローラーを開き、エクスプローラーは指定されたリモートのサーバーからファイルを検索してその結果を表示する。今回の調査においては「INVOICE」というファイルが検索され、同名のショートカットファイルが表示される。このショートカットファイルはリモートサーバー上のバッチファイルを指しており、ショートカットファイルを開くとバッチファイルが実行される。
Trustwaveはここでバッチファイルのダウンロードおよび実行に失敗している。バッチファイルのダウンロードに失敗した理由はわかっておらず、攻撃者が故意に攻撃を中止した可能性がある。
○対策
-
-
- 1
- 2
-
この記事に関連するニュース
-
WindowsのMSCファイルに任意のJavaScript実行の脆弱性、注意を
マイナビニュース / 2024年6月27日 7時46分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
ユーザー自らマルウェアをインストール、偽の警告メッセージに注意
マイナビニュース / 2024年6月19日 8時26分
-
今後のWSL2はGUI管理が可能に - 阿久津良和のWindows Weekly Report
マイナビニュース / 2024年6月9日 16時0分
-
Excelを悪用してマルウェアを展開するウクライナを狙うサイバー攻撃特定
マイナビニュース / 2024年6月7日 10時25分
ランキング
-
1老後の趣味で気軽に“塗り絵”を始めて1年後…… めきめき上達した70代女性の美麗な水彩画に「本当にすごい…」「感動です」
ねとらぼ / 2024年6月29日 22時0分
-
2「ロンハー」有吉弘行のヤジに指摘の声「酷かった」「凄く悲しい言葉」 42歳タレントが涙浮かべる
ねとらぼ / 2024年7月2日 15時31分
-
3シャオミ、ペンを発売 「書き心地は良いが、タブレットとペアリングはできません」と公式
ITmedia NEWS / 2024年7月3日 8時30分
-
4坂本龍馬はそんなこと言わない! 居酒屋で発見された“ウソすぎる名言”が話題「おもろすぎる」「せめて土佐弁で」
ねとらぼ / 2024年7月2日 20時30分
-
5マイナポータルで障害、一部機能が利用しづらくなった
ASCII.jp / 2024年7月2日 16時35分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)