「Emotet」添付ファイルにショートカットファイルを使う新手法 | yaegakiの日記

yaegakiの日記：「Emotet」添付ファイルにショートカットファイルを使う新手法 7

日記 by yaegaki 2022年04月27日 9時40分

更新: 2022年4月26日追記

2022年4月25日頃より、Emotetの感染に至るメールとして、ショートカットファイル（LNKファイル）あるいはそれを含むパスワード付きZipファイルを添付したメールが新たに観測されています。ファイルを実行すると、スクリプトファイルが生成、実行され、Emotetの感染に至ります。

ショートカットファイルを実行するとスクリプトファイルが生成、実行されるという仕組みがわからない。
誰か教えてくれ！

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索7コメント Log In/Create an Account

なんとなく画像を見てると手法が見えてくる (スコア:1)

by Anonymous Coward on 2022年04月27日 10時23分 (#4240265)

この [twitter.com]tweetが参考になります。
- Re:なんとなく画像を見てると手法が見えてくる (スコア:2)
  
  by yaegaki (47415) on 2022年04月27日 15時22分 (#4240500) 日記
  
  ありがとうございます。
  ショートカットのリンク先にコマンド文字列を設定してcmd.exeを実行できるんですね。
  リダイレクトでファイルも生成できて、ワンライナーの要領で生成したスクリプトを実行できると。
  ショートカットの実行はスクリプトファイルの実行と同じリスクとして考えないといけないということですね。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  自己展開シェルスクリプト(シェルスクリプト+アーカイブ)のWindows版みたいな感じだね。
  .exeを動かしちゃうような相手なら.lnkも動かしちゃうかぁ。
  - Re: なんとなく画像を見てると手法が見えてくる (スコア:0)
    
    by Anonymous Coward
    
    てかそもそも、エクスローラとかで拡張子非表示の人大杉でわ。
    - Re: なんとなく画像を見てると手法が見えてくる (スコア:1)
      
      by poly (42427) on 2022年04月27日 15時21分 (#4240499) 日記
      
      拡張子非表示はWindowsの初期設定ですから…
      # 昔のMacintosh(File TypeとCreatorはFinderでは非表示)に対抗して…現在に至る禍根が残る
      
      シェア
      
      親コメント
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        拡張子変わるとファイルタイプや関連付けまで変わってくるしなあ。
        WinFSがポシャってしまったのが痛い。
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      確かに.lnkの拡張子を表示する設定にしてる人は見たことない

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

yaegakiの日記：「Emotet」添付ファイルにショートカットファイルを使う新手法 7

「Emotet」添付ファイルにショートカットファイルを使う新手法 More ログイン

なんとなく画像を見てると手法が見えてくる (スコア:1)

Re:なんとなく画像を見てると手法が見えてくる (スコア:2)

Re: (スコア:0)

Re: なんとなく画像を見てると手法が見えてくる (スコア:0)

Re: なんとなく画像を見てると手法が見えてくる (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

スラド