Windowsの残存物の悪用というタイトルが気になりました。
脅威アクターは「臨床解剖学」のような教科書PDFに見せかけたショートカットファイルを、被害者にダウンロードさせ、MHTMLプロトコルハンドラーとx-uscディレクティブを悪用して悪質なコードを実行します。
その際、Internet Explorer ブラウザーの残骸がトリガーされ、悪意のある HTMLアプリケーションをホストする侵害されたWeb サイトに誘導されていました。
悪意あるサイトにアクセスすると、トロイの木馬とインフォスティーラーをダウンロードします。
最初の攻撃は、スピアフィッシングでzipファイルをダウンロードさせ、PDFに見せかけたショートカットファイルをクリックさせることから始まっています。
PDFに設定されたファイル名から、専門家や学生をターゲットにしていることがわかります。
Microsoftは、 2024年7月の月例パッチでこの脆弱性に対する修正プログラムを配布して、IEがショートファイルでMHTMLを実行できないようにしました。
