見た目は圧縮PDF、実際はIcon、拡張データにRARが含まれる奇妙な添付ファイル、その目的はなぞなぞではありません

圧縮されたPDFファイルのように見えるが、実際にはIconファイルであり、さらにそこに拡張データとしてRARデータが含まれているという奇妙な添付ファイルがサイバー攻撃に使われていることが発見された。この奇妙なファイルが使われる理由は。

» 2021年03月16日 10時55分 公開
[後藤大地有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 Trustwave SpiderLabsは2021年3月11日(現地時間)、拡張し「.zipx」の添付ファイルを使ったスパムメールに関する分析結果を伝えた。

 添付ファイルはPDFデータの圧縮ファイルを装っているが、実際に添付されているファイルはIconファイルであり、さらにIconファイルの中に追加データとしてRARファイルが含まれる奇妙な構造になっているという。

Image File Trickery Part II: Fake Icon Delivers NanoCore | Trustwave 添付ファイルのバイナリデータの解析結果(出典:Trustwave)

ややこしくマニアックな構成の添付ファイル送付は何が目的?

 添付されているファイルは「NEW PURCHASE ORDER.pdf*.zipx」といった名前になっているが、その実態はIconデータのバイナリファイルだ。しかし、このファイルには拡張データが追加されており、この部分に「RAR」形式のデータが含まれているという。RARはデータ圧縮フォーマットの一種だ。

Copyright © ITmedia, Inc. All Rights Reserved.