ショートカットファイルからマルウェア感染、日本の組織を標的にしたメール攻撃を確認

　不正なショートカットファイルをダウンロードさせる標的型攻撃メールが、4月から5月にかけて日本の組織に対して送信されていたとして、一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）が公式ブログで発表した。同メールに記載されたURLにアクセスすると、ダウンローダーが含まれたショートカットファイルがダウンロードされ、実行すると最終的にマルウェアに感染する。

　JPCERT/CCで確認したショートカットファイルは、実行すると外部からVBScriptを含むHTMLファイルをダウンロードする。このVBScriptによってVBSファイル（stwa.vbs）とBATファイル（Autorun.bat）を作成・実行する。

ショートカットファイルがダウンロードするHTMLファイル

　実行されたstwa.vbsは、ショートカットファイル内に含まれるBase64データをデコードし、Windows実行ファイル（stwa.exe）およびダミーWordファイルとして保存する。

ショートカットファイルに含まれるBase64データ

　stwa.exeは自己解凍形式（CAB）で、実行すると「srdfqm.exe」「cp_cdis32.exe」「sd.exe」「winpt.xml」「winpt_n.xml」のファイル群を作成する。srdfqm.exeはC&Cサーバーとの通信などを行うダウンローダーになる。

　srdfqm.exeにはダウンローダー以外の機能はなく、1回目の通信でダウンロードするファイル名を入手する。2回目の通信で同ファイル名をURLに含めて通信を行い、ファイルをダウンロードする。

ショートカットファイルからマルウェアに感染するまでの流れ

　なお、マルウェアがダウンロードする検体を取得できていないため、最終的に感染するマルウェアについては不明。JPCERT/CCでは、同ファイルを攻撃の起点とし使用するものを多数確認しているが、「毎回少しずつ手法を変えている」という。今後も同様の標的型攻撃が行われる可能性があるとして注意を促している。