Windowsの検索プロトコルを悪用してマルウェア配布するサイバー攻撃に注意
マイナビニュース / 2024年6月17日 9時16分
Trustwaveはこのほど、「Search & Spoof: Abuse of Windows Search to Redirect to Malware」において、Windowsの「search:アプリケーションプロトコル」を悪用してマルウェアを配布するサイバー攻撃のキャンペーンを発見したと伝えた。
Trustwaveの調査では途中のペイロードの取得に失敗しており、最終的に配布されるマルウェアは特定できていないが、初期の侵害経路は特定できたとして詳細を公開している。
○「search:アプリケーションプロトコル」とは
Windowsのsearch:アプリケーションプロトコルは、Windows Vista with Service Pack 1(SP1)から導入された機能。Windowsがデフォルトの検索アプリケーションを決定して呼び出す仕組みを定義している(参考:「Using the search Protocol - Win32 apps | Microsoft Learn」)。この機能はエクスプローラー、Microsoft Edge、Google Chrome、「ファイル名を指定して実行」などから利用することができる。
○侵害経路
今回確認されたキャンペーンでは、請求書の送付などを装った偽のメールが使用される。メールにはアーカイブファイルが添付されており、このファイルにはHTMLファイルが含まれている。
ユーザーが請求書を閲覧するためにHTMLファイルを開くと、search:アプリケーションプロトコルへ自動的にリダイレクトされ、Microsoft Edgeはエクスプローラーを開こうとする。通常、Microsoft Edgeはエクスプローラーを開く前に警告を表示するため、ここでキャンセルを選択すれば問題はない。
エクスプローラーを開くことに同意した場合、Microsoft Edgeはエクスプローラーを開き、エクスプローラーは指定されたリモートのサーバーからファイルを検索してその結果を表示する。今回の調査においては「INVOICE」というファイルが検索され、同名のショートカットファイルが表示される。このショートカットファイルはリモートサーバー上のバッチファイルを指しており、ショートカットファイルを開くとバッチファイルが実行される。
Trustwaveはここでバッチファイルのダウンロードおよび実行に失敗している。バッチファイルのダウンロードに失敗した理由はわかっておらず、攻撃者が故意に攻撃を中止した可能性がある。
○対策
-
-
- 1
- 2
-
この記事に関連するニュース
-
WindowsのMSCファイルに任意のJavaScript実行の脆弱性、注意を
マイナビニュース / 2024年6月27日 7時46分
-
チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表 国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に
PR TIMES / 2024年6月19日 15時45分
-
ユーザー自らマルウェアをインストール、偽の警告メッセージに注意
マイナビニュース / 2024年6月19日 8時26分
-
今後のWSL2はGUI管理が可能に - 阿久津良和のWindows Weekly Report
マイナビニュース / 2024年6月9日 16時0分
-
Excelを悪用してマルウェアを展開するウクライナを狙うサイバー攻撃特定
マイナビニュース / 2024年6月7日 10時25分
ランキング
-
1柴犬が必死でくわえようとするのはまさかの“一生無理”なヤツ 子どものような戦いに「激可愛すぎて永遠にリピート」
ねとらぼ / 2024年6月30日 7時0分
-
2様子見していたあのゲーム、今こそ買い時かも!特選Steamサマーセール「過去最安」編【Steamサマーセール2024年夏】
Game*Spark / 2024年6月30日 16時0分
-
3iPhoneでも使うべし!Google系便利アプリ5選|iPhoneでGoogle
&GP / 2024年6月29日 22時0分
-
4別人級メイクの達人がすっぴんからパーティーメイクすると…… 驚きの大変貌に「めちゃめちゃビジュがいい!」「これはまさしく詐欺」
ねとらぼ / 2024年6月29日 19時30分
-
5なんだこれ……! “近未来すぎる砂時計”が話題に 「こういうのたまらん」
ねとらぼ / 2024年6月30日 12時0分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください
![](/pc/img/mission/mission_close_icon.png)