攻撃者は、Windowsのスクリーンセーバー(.scr)ファイルを悪用して正規のリモート監視・管理(RMM)ツールをインストールし、従来型のマルウェア警告を発生させることなく永続的なリモートアクセスを付与するスピアフィッシングキャンペーンを開始しました。
この手法は通常のIT運用に紛れ込み、認証情報の窃取、データ流出、またはランサムウェアへとエスカレーションを可能にします。ReliaQuestは複数の顧客環境でこれを最初に確認し、.scrのダウンロードにビジネス関連の誘導文句を用いる新規性を指摘しました。
このキャンペーンは、GoFileのようなクラウドストレージサービスへのリンクを含むスピアフィッシングメールから始まり、そこには「InvoiceDetails.scr」のように文書を装った.scrファイルがホストされています。
ReliaQuestによると、ユーザーはDownloadsフォルダーからこれらをダウンロードして実行し、.exeや.msi拡張子に重点を置く多くのセキュリティツールを回避します。
実行すると、JWrapper経由のSimpleHelpなどのRMMエージェントが静かにインストールされ、C:\ProgramData\JWrapper-Remote Access\ に痕跡を作成し、攻撃者が管理するサーバーへの外向き接続を開始します。
このRMMは、再起動後も維持される対話型アクセスを提供し、ラテラルムーブメント、データ窃取、またはランサムウェアの準備に利用されます。
攻撃者は信頼されたサービスを悪用して日常的な運用を装い、検知を遅らせます。この手法は適応性が高く、ホスティング先やRMMツールを入れ替えても、手口(プレイブック)自体は維持できます。
スクリーンセーバーファイルは任意のコードを実行できるポータブル実行形式(PE)ですが、ユーザーやポリシーはしばしば無害だとして見落としがちです。
RMMツールは、昇格権限や暗号化チャネルを備えたIT向けに設計されており、統制がない場合は環境に溶け込みます。この「正規ツール悪用(Living-off-the-land)」のアプローチにより、カスタムマルウェアの必要性が減ります。
過去の事例は実現可能性を裏付けています。2025年8月には、.scrファイルが金融系フィッシングアプリを介してGodRATのRATを投下しました。
2025年6月には、CISAによれば、DragonForceランサムウェアがMSPのRMMの欠陥を悪用して永続性を確立し、データを暗号化しました。これらは、見落とされがちな形式やツールがスケールして悪用され得ることを示しています。
.scrファイルは信頼できない実行ファイルとして扱ってください。AppLocker、WDAC、または同等の仕組みを用いてDownloads、Desktop、Tempからの実行をブロックし、署名済みパスのみを許可します。
RMMは許可リスト(ベンダー、証明書、ハッシュ)で統制し、実行後に新しいサービス、タスク、またはProgramDataフォルダーが作成された場合にアラートを出してください。
攻撃者は進化し、拡張子ブロックを回避するために、他の見落とされがちな形式やアーカイブを狙うようになるでしょう。
RMMの悪用は統制が弱い環境で継続し、ランサムウェアを助長します。シグネチャよりもコンテキストを優先し、挙動から意図を立証してください。強固な制御により、この経路は信頼できないものになります。
翻訳元: https://cyberpress.org/windows-screensaver-grants-remote-access/