PowerPointのハイパーリンク悪用、ホバーだけでマルウェアをインストール

2017年6月12日 20:22

小

中

大

印刷

記事提供元:スラド

headless曰く、 PowerPointのスライドショー形式ファイルを使い、マルウェアをインストールさせるスパムキャンペーンが5月下旬に発生していたそうだ(TrendLabs Security Intelligence BlogDodge This SecurityNeowinArs Technica)。

 使われたファイルは.pps/.ppsxファイルで、直接プレゼンテーション/スライドショーモードで起動する。マクロやVBAなどは使われておらず、ハイパーリンクのmouseoverアクションにPowerShellでマルウェアをダウンロードしてインストールさせる処理が指定されているという。なお、今回のスパムキャンペーンではZusyやOTLARD、Gootkitなどと呼ばれるインターネットバンキングを対象にしたトロイの木馬がインストールされるようになっていたそうだ。

 このファイルは明細書のようなタイトルのスパムメールに添付して送付され、被害者がファイルを開くと「Loading...Please wait」というテキストがハイパーリンクとして表示される。あとは被害者がハイパーリンク上にマウスをホバーするだけでアクションが実行される仕組みだ。

 PowerPoint 2010以降では保護ビューが既定で有効になっており、ハイパーリンクをホバーした際に外部プログラムの実行をブロックしたというメッセージが表示される。ただし、メッセージ上のボタンで実行の有効化を選択すればブロックは解除されてしまうとのこと。

 Trend Microの観測によれば、このスパムキャンペーンはEMEA地域、特に英国、ポーランド、オランダ、スウェーデンの組織が影響を受けたといい、ピーク時の5月25日には1,444件の検出が報告されたそうだ。しかし翌26日には782件に減少し、29日には収束したとのことだ。

 スラドのコメントを読む | セキュリティセクション | セキュリティ | マイクロソフト | spam

 関連ストーリー:
Symantec、Torrentユーザーをセキュリティリスクから保護するシステムの特許を取得 2017年06月10日
特定ユーザーが共有フォルダから実行ファイルをコピーした場合のみマルウェアに置き換えるCIAのツール 2017年06月07日
Windowsのマルウェア対策エンジンのバグ、2日で修正されたバグ以外のバグも報告されていた 2017年06月01日
Android向けマルウェアを使って感染者から多額の資金を盗んでロシアのハッカーグループ、摘発される 2017年05月26日

※この記事はスラドから提供を受けて配信しています。

関連キーワードマルウェアイギリスオランダトロイの木馬IntelTrend Microスウェーデン

関連記事

広告

広告

写真で見るニュース

  • 新型ソリオ発表会の様子。(画像: スズキの発表資料より)
  • 画像はイメージです。
  • ボルボ「S60」(画像: ボルボ・カー・ジャパン発表資料より)
  • ミニムーン20CD3 (c)  International Gemini Observatory / NOIRLab / NSF / AURA / G. Fedorets
  • SUBARU Labが入るH¹O渋谷三丁目の共用ラウンジのイメージ(画像: SUBARU発表資料より)
  • N-BOX、N-BOXカスタム:発表資料より
  • 新型N-ONE RS(画像: 本田技研工業の発表資料より)
 

広告

ピックアップ 注目ニュース