人事評価シートを装って配布されている Guloader マルウェア

最近、AhnLab SEcurity intelligence Center (ASEC) では、人事評価シートを装ったフィッシングメールを通じて配布されている Guloader マルウェアを確認した。メールには2025年10月の人事評価シートが添付されており、一部の従業員が解雇予定であるという内容に言及することで添付ファイルを開くよう誘導している。

[図 1] フィッシングメール本文

添付ファイルは RAR 形式の圧縮ファイルで、その中に「staff record pdf.exe」という名前の NSIS 実行ファイルが含まれている。
拡張子が表示されていない場合、PDF 文書と誤認して実行してしまう恐れがあるため、注意が必要である。

[図 2] 添付された圧縮ファイルの中身

「staff record pdf.exe」は Guloader マルウェアであり、実行されると、以下の C&C サーバーに存在するシェルコードをメモリ上にロードして実行する。

• URL : hxxps://drive.google[.]com/uc?export=download&id=1bzvByYrIHy24oMCIX7Cv41gP9ZY3pRsgv

[図 3] ダウンロードされるシェルコード

最終的に実行されるマルウェアは Remcos RAT であり、攻撃者の命令に従ってキーロギング、スクリーンショットの取得、Web カメラおよびマイクの制御に加え、感染したシステムに存在する Web ブラウザの閲覧履歴や保存されたパスワードの窃取など、悪意のある遠隔操作が可能でなる。

• Remcos RAT C2 : 196.251.116[.]219:2404,5000

[図 4] Remcos RAT の C&C 情報

送信元が不明なメールを開く際には、ユーザーの十分な注意が求められる。二次被害を防ぐためにも定期的なパスワード変更が重要である。
また、攻撃者のアドレスや侵害されたサーバーではなく、正規のプラットフォームを C&C として悪用するケースが増加しているため、ユーザーはこれまで以上に警戒する必要がある。