Trustwaveは10月20日(米国時間)、「Archive Sidestepping: Emotet Botnet Pushing Self-Unlocking Password-Protected RAR|Trustwave」において、Emotetによるボットネットがパスワードで保護されたアーカイブファイルを利用してマルウェアを投下していると伝えた。パスワードで保護されたアーカイブに隠された脅威の増加が確認されており、これらの約96%がEmotetボットネットによってスパム送信されていたことが明らかとなった。
Emotetボットネットによる新たなスパムキャンペーンが発見され、興味深い添付ファイルを使用していることが報告されている。添付ファイルは請求書を装ったZIPまたはISO形式の添付ファイルとなっており、ネストされた自己解凍ファイル(SFX)が含まれていたという。
最初のアーカイブは自己解凍型のRARファイル(RARsfx)で、解凍されるとバッチファイルおよび画像またはPDFのデコイファイル、パスワードで保護されたRARsfxが展開される仕組みになっている。パスワードで保護された2番目のアーカイブファイルはユーザーによるパスワード入力を必要とせず、バッチファイルが実行されるとパスワードで保護されたRARsfxの中に潜むマルウェアがインストールされてしまうことがわかった。
このスパムキャンペーンで確認されているペイロードは「CoinMiner」および「QuasarRat」のふたつ。CoinMinerは感染したシステムのリソースを使用して暗号通貨を採掘する脅威で、認証情報窃取的な挙動を示すこともあるといわれている。QuasarRatはGitHubで一般公開されている悪名高いオープンソースの遠隔操作ウイルス(RAT: Remote Administration Tool)で、脅威者が行うキャンペーンで広く使われる強力な機能を提供するツールとされている。
自己解凍型アーカイブはエンドユーザー間でのファイル配布を容易にするが、ファイルの中身を簡単に確認することができず、コマンドや実行ファイルが実行されてしまうため、セキュリティ上のリスクがあると指摘されている。発見されたキャンペーンのような攻撃手法によってクリプトジャッキングやデータ窃取、ランサムウェアなどの多数の攻撃が脅威者に実行されていると伝えている。