FortiGuard Labsが2021/09/21、Emotetのように返信メールを悪用するタイプのマルウェアSquirrelwaffle（スクウォーレル・ワッフル）の注意喚起をしているようだ。

www.fortiguard.com

メールのリンクをクリックすると、不正なVBAマクロを含むオフィスファイルを圧縮したZIPファイルが外部サーバーからダウンロードされる。

ZIPファイルを解凍してオフィスファイルを開くと、VBScriptファイルが展開され、そのVBScriptが外部サーバーからSquirrelwaffle Loaderというマルウェアをダウンロードする。

現時点でSquirrelwaffle Loaderが悪用する攻撃ツールとして報告されているのはCobaltStrikeとのこと。CobaltStrikeは外部のコマンド＆コントロールサーバーと通信して、さらに追加のマルウェアをダウンロードする。

このSquirrelwaffleは、以前のEmotetのように「Replay Chain Technique（リプライ・チェーン・テクニック）」を利用しているとのこと。

これはメールの返信をくり返すことで出来るスレッドに途中から割り込むテクニックで「スレッドハイジャック」とも呼ばれるらしい。

個人的にもビジネスメール詐欺でよく見るパターンだが、タテに延々とつながっている返信の返信のそのまた返信というスレッドの途中から、いつの間にか自社や取引先のメールアドレスが奇妙なドメインのアドレスに入れ替わっていたりする。

攻撃者はスレッドに含まれる送受信者のうち誰かのメールアカウントに不正アクセスし、メールのやりとりの情報を盗み、ある時点で割り込んで来てもっともらしい返信をして受信者をだます。

この「スレッドハイジャック」は何度も見たことがあるが、先方に問い合わせるとほとんどの場合メールアカウントに二要素認証を設定していなかったり、自分が攻撃者のアドレスにメールを送信していることに気づいていなかったりする。

とはいえ自分がだまされる可能性も十分あるので、まず自社のメールアカウントは最低限、二要素認証を必須とし、その上で相手のメールアドレスがヘンなドメインにすり替わっていないか、「スレッドハイジャック」に要注意。