マクロレスのMicrosoftWordスパム添付ファイルがユーザーをマルウェアに感染させる

その他Dec 19, 2021
click fraud protection

マルウェアを拡散するWord文書の添付ファイルは、マクロの有効化を要求しなくなりました

マクロレススパム攻撃はすでに使用されています

長年にわたり、悪意のある添付ファイルを含むスパムメールがマルウェアの93%を実行した方法です[1] ここ数年。 TrustwaveSpiderLabsによる最新ニュースから判断すると[2] 研究者によると、マルウェア、主にトロイの木馬、スパイウェア、キーロガー、ワーム、 ランサムウェアは、人々が開く悪意のある電子メールの添付ファイルの数にさらに依存します。 それにもかかわらず、ハッカーは1つの重要な変更を導入しようとしています。これからは、人々はスパムを受信する可能性があります マクロを実行する必要のない悪意のあるWord文書、Excel、またはPowerPointの添付ファイル 脚本。 潜在的な被害者がマクロを有効にしたときにのみ以前のマルウェアが実行された場合、[3] これで、電子メールの添付ファイルをダブルクリックするだけでアクティブになります。

マクロレス技術はすでに使用されています

研究者は2月の初めにしかそれを検出できませんでしたが、 マクロレス技術はあまりにも早くリリースされており、潜在的な被害者はすでにリリースされている可能性があります それらを受け取りました。

この新しいマクロフリースパムキャンペーンは、悪意のあるWord添付ファイルを使用して、4段階の感染を悪用します。 被害者の電子メール、FTP、および ブラウザ。 マイクロソフトは昨年、すでにCVE-2017-11882の脆弱性にパッチを適用していましたが、多くのシステムは何らかの理由でパッチを受信して​​いませんでした。

マルウェアの拡散に使用されるマクロフリーの手法は、.DOCX形式の添付ファイルに固有のものですが、スパムメールの発信元はNecursボットネットです。[4] Trustwaveによると、主題はさまざまですが、それらはすべて金銭的な関係があります。 4つの可能なバージョンが注目されています:

  • TNTのアカウントステートメント
  • 見積依頼
  • テレックス転送通知
  • 残高支払いのための迅速なコピー

SpiderLabsは、悪意のある添付ファイルがすべての種類のマクロレススパムメールと一致することを承認しました。 彼らによると、.DOCX添付ファイルは「receipt.docx」という名前です。

マクロフリーの悪用技術の連鎖

多段階の感染プロセスは、潜在的な被害者が.DOCXファイルを開くとすぐに開始されます。 後者は、ハッカーサーバーへの外部参照を含む埋め込みOLE(Object Linking and Embedding)オブジェクトをトリガーします。 このようにして、ハッカーはdocument.xml.relsで参照されるOLEオブジェクトにリモートアクセスできます。

スパマーは、Microsoft Office 2007を使用して作成されたWord(または.DOCX形式)ドキュメントを悪用します。 このタイプのドキュメントは、XMLおよびZIPアーカイブテクノロジに基づくOpen XMLFormatを使用します。 攻撃者は、これらのテクノロジーを手動と自動の両方で操作する方法を見つけました。 その後、ステージ2は、PCのユーザーが悪意のある.DOCXファイルを開いたときにのみ開始されます。 ファイルを開くと、リモート接続が確立され、RTF(リッチテキストファイル形式)ファイルがダウンロードされます。

ユーザーがDOCXファイルを開くと、次のURLからリモートドキュメントファイルにアクセスできます:hxxp:// gamestoredownload [。] download / WS-word2017pa [。] doc。 これは実際にはダウンロードされて実行されるRTFファイルです。

これが、マクロレスマルウェア実行手法が概略的にどのように見えるかです。

  • 潜在的な被害者は、.DOCXファイルが添付された電子メールを受け取ります。
  • 添付ファイルをダブルクリックして、OLEオブジェクトをダウンロードします。
  • これで、実際にはRTFであると想定されるDocファイルが最終的に開きます。
  • DOCファイルは、CVE-2017-11882 Office EquationEditorの脆弱性を悪用します。
  • 悪意のあるコードはMSHTAコマンドラインを実行します。
  • このコマンドは、VBScriptを含むHTAファイルをダウンロードして実行します。
  • VBScriptはPowerShellスクリプトを解凍します。
  • その後、Powershellスクリプトがマルウェアをインストールします。

マクロレスマルウェア攻撃から身を守るために、WindowsOSとOfficeを最新の状態に保ちます

サイバーセキュリティの専門家は、人々の電子メールアカウントをNecurs攻撃から保護する方法をまだ見つけていません。 おそらく、100パーセントの保護はまったく見つかりません。 最も重要なアドバイスは、疑わしい電子メールメッセージに近づかないことです。 公式文書を待っていなくても、どこからともなく受け取った場合は、このトリックに騙されないでください。 公式当局は公式通知に間違いをほとんど残さないため、このようなメッセージの文法やタイプミスを調査してください。

注意に加えて、WindowsとOfficeを最新の状態に保つことが重要です。 自動更新を長期間無効にしている人は、重度のウイルス感染のリスクが高くなります。 古いシステムとそれにインストールされているソフトウェアには、CVE-2017-11882のような脆弱性が含まれている可能性があります。これは、最新のアップデートをインストールすることによってのみパッチを適用できます。