特に悪質なフィッシングキャンペーンが、仮想ハードディスクへのリンクの背後に、通常のPDF文書を装ったマルウェアを隠しています。従業員はPDF形式の発注書や請求書を受け取ることに慣れているため、悪意のあるファイルを深く考えずに開いてしまいがちで、その中に含まれるマルウェア――このケースではリモートアクセス型トロイの木馬であるAsyncRAT――が社内コンピューターを制御できるようになってしまいます。
このフィッシングキャンペーンのメールは文書を直接添付せず、IPFS(InterPlanetary File System)上にホストされたファイルへのリンクを含んでいます。IPFSは分散型ストレージネットワークで、通常のWebゲートウェイ経由でアクセスできるため、サイバー犯罪者による利用が増えています。これらのファイルは仮想ハードディスクで、開くとローカルディスクとしてマウントされ、Windowsの一部のセキュリティ機能を回避します。ディスク内には、期待されるPDFを装ったWindows Script File(WSF)が入っています。ユーザーがそれを開くと、Windowsがファイル内のコードを実行し、リモートの攻撃者に悪用され得る状態になります。
自衛のために、組織およびPCユーザーはWindowsでファイル拡張子を表示する設定にすべきだと、MalwareBytes Labsはブログ投稿で助言しており、Dead#Vaxマルウェアキャンペーンを発見したのはSecuronixであるとしています。
翻訳元: https://www.csoonline.com/article/4128872/pretend-disk-format-pdfs-harbor-new-dangers-2.html
ソース: csoonline.com
