サイバーセキュリティ研究者は、世界中の受信箱を狙う大規模なPhorpiexキャンペーンを確認しました。件名「Your Document」のフィッシングメールが、偽の添付ファイルを開かせるようユーザーをだまします。
これは本物のWordファイルではなく、武器化されたWindowsショートカット(.lnk)ファイルです。攻撃者はソーシャルエンジニアリングと巧妙な手口を組み合わせ、防御をすり抜けて痕跡を残さずにランサムウェアをダウンロードします。
これらの攻撃は2025年後半に急増し、企業と家庭ユーザーの双方を標的にしました。目的は? Mamonaファミリー由来の静かな新たな脅威であるGLOBAL GROUPランサムウェアを展開することです。日常的なファイル形式を利用することで、ハッカーはワンクリックを混乱へと変えます。
Windowsショートカットは、シンプルでステルス性が高いため、サイバー犯罪者にとって依然として有力な選択肢です。攻撃者は「Document.doc.lnk」のような手口で本当の.lnk拡張子を隠します。Windowsの既定設定では既知の拡張子が非表示になるため、被害者には「Document.doc」だけが見え、無害なWordファイルに見えてしまいます。
正規に見せかけるため、shell32.dllのような信頼できる場所からアイコンを盗用します。ポップアップやインストーラーは表示されません。代わりにショートカットがcmd.exeやバックグラウンドのPowerShellを起動します。この「Living off the Land」(LotL)戦術は、Windows標準のツールを使ってウイルス対策のスキャンを回避します。
メール添付の「Document.doc.lnk」は2024年5月までさかのぼり、使い回しのツールであることを示唆しています。クリックされると:
2010年から活動するボットネットPhorpiexが、このダウンローダーを拡散します。これはしばしばランサムウェアを配布し、たとえばGLOBAL GROUPのような、Ransomware-as-a-Service(RaaS)グループがそれに当たります。
GLOBAL GROUPは「ミュート」モードが特徴で、ハッカーのサーバーへ通信しません。暗号化キーを端末上で生成し、オフラインで動作し、データ窃取を防ぎます。これにより、不審な通信を監視するネットワーク監視を回避できます。
「windrv.exe」として投下されると、展開後のバイナリは平文の文字列で計画を露わにします。まずpingのトリックから始まります:「ping 127.0.0.7 -n 3 && del /f /q windrv.exe」。この3秒の遅延によりファイルを暗号化し、その後に自己削除して痕跡を隠します。
解析妨害のチェックにより、仮想マシンのプロセス、サンドボックス、各種ツールを終了させます。また、暗号化のためにロックされたファイルを解放する目的でデータベースアプリも停止させます。
永続化は、Windows\Temp\cleanup.exeへのコピー、タスクスケジューラの「CoolTask」(SYSTEMとして実行後に削除)、およびオンデマンドサービスによって行われます。
拡散のために、LDAPでActive Directoryを照会し、リモートサービスを作成し、ADVAPI32.dll経由で認証情報を窃取し、イベントログを消去します。
ミューテックス「Global\Fxo16jmdgujs437」、16進のファイルマーカー「xcrydtednotstill_amazingg_time!!」、または壁紙で検知できます。
この一連の流れは、LNKファイルのような古い手口が静かなランサムウェアと完璧に噛み合うことを示しています。cmd/PowerShellによるダウンロード、不審なping、あるいはネットワーク上のノイズだけでなくプロセスの強制終了に関するエンドポイントアラートに注力してください。
添付ファイルに関するユーザー教育を行い、拡張子表示を有効化し、二重拡張子の手口をブロックしてください。EDRのようなツールはLotLを早期に検知できます。
翻訳元: https://cyberpress.org/malicious-lnk-spreads-ransomware/