巧妙なスパムキャンペーンが、偽のPDFファイルを添付して受信箱を狙っています。これらのメールは、Adobe Acrobatを更新する必要があると思い込ませてユーザーをだまします。本物のソフトウェアを入手する代わりに、被害者は危険なリモート監視・管理(RMM)ツールをダウンロードしてしまいます。
これらのツールにより、攻撃者は感染したコンピューターを完全かつ継続的に制御できます。攻撃は信頼されているRMMソフトウェアを悪用して目立たない形で潜み、日常的なIT作業に見せかけます。
Level Blueのセキュリティチームがこれを発見し、侵害の指標(IOC)を含む重要な詳細を共有しました。
このキャンペーンは2026年初頭に勢いを増し始めました。メールは「Scanned Document」や「Urgent Update」といった件名で届きます。添付ファイルは「scanned_document.pdf」のような無害そうな名前のPDFです。
ユーザーが開くと、PDFには「Adobe Reader has stopped working. Download the latest version.」という偽のエラーメッセージが表示されます。大きな赤いボタンが迅速な対応を促し、クリックすると偽のAdobeダウンロードページへ誘導されます。
被害者は「Adobe_Reader_Installer.exe」を装った実行ファイルを入手します。これらのファイルは、TrustConnectやDatto RMMなど正規ベンダーのRMMエージェントをインストールします。
なぜRMMツールなのか? これらはIT管理者がデバイスを遠隔管理して問題を修正したり、スクリプトを実行したり、パフォーマンスを監視したりするために使われます。攻撃者はこれを悪用し、許可なく展開します。インストールされると、ツールは攻撃者が制御するサーバーへ通信します。
これにより、再起動後も持続するアクセスが可能になります。攻撃者は画面をのぞき見し、ファイルを盗み、コマンドを実行し、追加のマルウェアを投下できます。
RMMの通信は企業のIT運用に似ているため、エンドポイント検知・対応(EDR)ツールを回避しやすく、ステルス性が高いのです。
Spider Labsによると、このPDFは埋め込みJavaScriptまたはハイパーリンクを使ってリダイレクトを発動します。マクロは不要で、必要なのはソーシャルエンジニアリングだけです。
偽サイトはURLの難読化とHTTPSを用いて、MailMarshalなどのメールフィルターを回避します。ダウンロードは直接リンク経由で行われ、ブラウザの警告を回避することも少なくありません。
これらのハッシュをEDRまたはSIEMでブロックしてください。ネットワークログを確認し、該当ドメインへの通信がないか調べてください。ANY.RUNのサンドボックスにより、RMMの永続化が確認されています。
防御策は明確です。ユーザーに対し、見覚えのないPDFリンクを避けるよう教育してください。ZscalerやCheck Point HarmonyなどのツールでPDFサンドボックスを有効化してください。TrustConnectまたはDattoのシグネチャを用いて、メールの異常をスキャンしてください。
RMMエージェントを最新バージョンに更新し、無許可のインストールがないか監視してください。PowerShellやPythonスクリプトを使ってエンドポイント上でIOCをハンティングしてください。
翻訳元: https://cyberpress.org/fake-pdfs-install-remote-access/