Hackers Use New Trick to Disable Macro Security Warnings in Malicious Office Files
2021/07/08 TheHackerNews — Microsoft Office 文書を武器として配布するフィッシング・キャンペーンでは、被害者にマクロを有効にするよう促し、感染の連鎖をダイレクトに引き起こすことが一般的だ。しかし、攻撃者は悪意のない文書を使用してセキュリティ警告を無効にし、その後にマクロコードを実行して、被害者のコンピュータに感染させろという、新たな発見があった。
McAfee Labs の研究者たちは、「スパムメールに添付されたマクロに、悪意のコードが含まれていなくても、悪意の DLL (ZLoader) をダウンロードして実行している」と述べている。この手口で増殖する ZLoader 感染は、主に米国/カナダ/スペイン/日本/マレーシアで報告されていると、このサイバー・セキュリティ企業は指摘している。ZLoader は、悪名高いバンキング・トロイの木馬 ZeuS の子孫であり、マクロ付きの Office 文書を最初の攻撃手段として積極的に利用し、標的となる金融機関のユーザーから、認証情報や個人情報を盗み出すことで知られている。
今回の侵入事件を調査した結果、感染の連鎖は Microsoft Word 文書の添付ファイルを添付するフィッシング・メールから始まり、この添付ファイルを開くと、パスワードで保護された Microsoft Excel ファイルがリモートサーバーからダウンロードされることが分かった。ただし、このダウンロードを行うためには、Word 文書の中でマクロが有効になっている必要がある。そして、XLS ファイルをダウンロードした後に、Word の VBA は XLS からセルの内容を読み取り、同じ XLS ファイルに対して新しいマクロを作成し、セルの内容を関数として XLS の VBA マクロに書き込んでいる。
マクロが書き込まれて準備が整うと、Word 文書はレジストリのポリシーを『Excel マクロ警告を無効にする』に設定し、Excel ファイルから悪意のマクロ関数を起動する。続いて、Excel ファイルは、ZLoader ペイロードをダウンロードする。最後に、ZLoader ペイロードは、rundll32.exe を使って実行される。
マクロがもたらす重大なセキュリティ・リスクを考慮して、この機能はデフォルトで無効になっています。しかし、脅威アクターが被害者を騙してマクロを有効にさせるための、説得力のあるソーシャル・エンジニアリングの誘い文句という、副次的な効果について、この記事は注意を促しています。つまり、ユーザーに表示されるセキュリティ警告をオフにすることで、検出を妨害する、攻撃の手口が注目されています。研究者たちは、「悪意の文書は、ほとんどのマルウェアのエントリー・ポイントとなっており、これらの攻撃は、VBA からペイロードを直接ダウンロードさせるだけでなく、動的にエージェントを作成してペイロードをダウンロードさせるなど、感染技術や難読化を進化させている。このようなエージェントを感染の連鎖の中で使用することで、Word や Excelに 限らず、他の LotL (Living off the Land) ツールを使用する可能性もある」と述べています。
IoT OT Security News 