Bleeping Computerは10月18日(米国時間)、「Watch out for Emotet malware's new 'Windows Update' attachment」において、Emotetボットネットが10月14日から活動を活発化させているとして注意を呼びかけた。

Emotetは細工されたMicrosoft WordまたはMicrosoft Excelを添付したスパムメールを介して感染を広めている。最近、攻撃者はユーザーが添付ファイルを開くよう、請求書、出荷情報、新型コロナウイルス情報、トランプ大統領の健康に関する情報、履歴書、注文書などを装ったメールを送信しているという。

Emotetに感染させるには、ユーザーにこうした細工ファイルを開いてもらうとともに、「コンテンツを有効にする」という操作をしてもらう必要がある。この部分がある種のストッパーとして機能するわけだが、今回のキャンペーンではこの部分がより巧妙になったとBleeping Computerは指摘している。

Emotetはドキュメントを表示する前に次のようなメッセージを表示するという。

Windows Updateを偽装した添付ファイル


このメッセージは『使っているMicrosoft Wordが添付ファイルのフォーマットと互換性がないためアップグレードを実施する必要があること、閲覧できるようにするために「コンテンツを有効にする」をクリックする必要がある』、ということを説明している。この説明を信じてコンテンツを有効にすると、仕込まれたマクロが実行されてターゲットのPCはマルウェアに感染してしまうという。

Emotetはこのところ世界中で猛威を奮っている。最終的にランサムウェアとして動作するなど悪質で、感染には十分注意する必要がある。