ウェブサイトに仕込まれたマルウェアを何者かが無害なGIFアニメに置き換えていることが判明

非常に感染力・拡散力が高く、PCにダウンロードされることでさまざまなマルウェア感染を引き起こす「Emotet」は近年、その被害の大きさから問題視されています。このEmotetのマルウェアファイルが、何者かに無害なGIFアニメーションへと置き換えられているという報告があがっています。

Emotet being hijacked by another actor | by Kevin Beaumont | Jul, 2020 | DoublePulsar
https://doublepulsar.com/emotet-being-hijacked-by-another-actor-b22414352a7b

A vigilante is sabotaging the Emotet botnet by replacing malware payloads with GIFs | ZDNet
https://www.zdnet.com/article/a-vigilante-is-sabotaging-the-emotet-botnet-by-replacing-malware-payloads-with-gifs/

Mystery actor disrupts Emotet malware distribution botnet - Security - iTnews
https://www.itnews.com.au/news/mystery-actor-disrupts-emotet-malware-distribution-botnet-550855

「Emotet」はスパムメールを利用したトロイの木馬型マルウェア。メールのリンクからOfficeファイルなどをダウンロードしたユーザーのPCはランサムウェア「Ryuk」に感染し、PC内のあらゆるファイルが暗号化されてしまいます。2019年にはアメリカのレイクシティ市のほぼ全システムが乗っ取りにあい、およそ5400万円の身代金を支払う事態に発展しました。

ランサムウェア被害で5400万円の身代金を支払ったアメリカの自治体が市のIT責任者1名を解雇 - GIGAZINE

大きな被害を生み出し問題視されていたEmotetは、2020年に入って活動が縮小しましたが、1日あたり25万通のメールが送信されるなど、再活発化の兆候が報告されています。

そんな中、Emotet周辺で不思議な動きがみられました。Microsoftのサイバーセキュリティ研究者であるケビン・ボーモント氏によると、Emotetによって配布されたマルウェアファイルが、何者かによってアニメーションGIFに書きかえられているとのこと。これにより、ユーザーのマルウェア感染が防がれています。

ボーモント氏は2019年にEmotetを利用する攻撃者がWordpressのウェブサイトをハッキングしてファイルをマルウェアに置き換え、ユーザーをだましているという方法を発見しましたが、何者かはこのEmotetのペイロードを以下のようなGIFに置換しているそうです。

俳優ジェームズ・フランコのGIFや……

80年代風のアクション映画「カン・フューリー」に登場するハッカーマンなども。

データの置き換えはゆっくりとスタートしましたが、毎日実行されるEmotetの活動のうち4分の1が置き換えられており、攻撃者に大きな損害を与えていることのこと。攻撃者側も対策を講じていますが、全体として活動は沈静化の傾向にあると伝えられています。

Emotetボットネットの活動を追跡するCryptolaemusのジョゼフ・ローゼン氏は「(Emotetの管理者である)イヴァン氏が技術的な困難に直面したため、Emotetの活動は今週かなり低下し、ほとんど何も行っていませんでした」と述べています。

なお、誰がEmotetの妨害を行っているかは不明で、自警団のほか、ライバルのマルウェア集団である可能性もあるとのことです。