Windows の MoTW ゼロデイを悪用:Qbot 投下フィッシング・キャンペーンが発覚

New attacks use Windows security bypass zero-day to drop malware

2022/11/19 BleepingComputer — 新たに発見されたフィッシング攻撃は、Windows のゼロデイ脆弱性を利用して、Mark of the Web のセキュリティ警告を表示せずに、マルウェア Qbot をドロップするものだ。Web やメールなどを介して、信頼できないリモートからのファイルがダウンロードされると、Windows は Mark of the Web (MoTW) と呼ばれる特別フラグを、それらのファイルに追加する。

Continue reading “Windows の MoTW ゼロデイを悪用:Qbot 投下フィッシング・キャンペーンが発覚”

Microsoft の MoTW ゼロデイ脆弱性:VBA Macro ブロックに関連する重要機能

Microsoft Patches MotW Zero-Day Exploited for Malware Delivery

2022/11/09 SecurityWeek — Microsoft の最新 Patch Tuesday では、サイバー犯罪者がマルウェアを送り込むために悪用している、Mark-of-The-Web (MoTW) セキュリティ機能の欠陥などを含む、6つのゼロデイ脆弱性が対処された。Windows では、ブラウザからのダウンロード・ファイルや電子メールの添付ファイルといった、信頼できない場所から送られてくるファイルに、MoTW フラグが追加される。そして、MoTW が設定されたファイルを開こうとすると、潜在的なリスクについて警告が表示され、それが Office ファイルの場合には、悪質なコードの実行を防ぐために VBA マクロがブロックされる。

Continue reading “Microsoft の MoTW ゼロデイ脆弱性:VBA Macro ブロックに関連する重要機能”

Emotet が 11月2日に活動を再開:Microsoft の Protected View を回避する戦術とは?

Emotet botnet starts blasting malware again after 5 month break

2022/11/02 BleepingComputer — マルウェア Emotet のオペレーションだが、サイバー犯罪作戦の活動がほとんど見られなかった約5ヶ月間の休暇を経て、再び悪質な電子メールを送信し始めている。Emotet のフィッシング・キャンペーンは、悪意の Excel/Word 文書を介して、マルウェアを配布し感染させるものだ。それらの文書を開いたユーザーが、マクロを有効にしていると、Emotet DLL がダウンロードされ、メモリに読み込まれる。

Continue reading “Emotet が 11月2日に活動を再開:Microsoft の Protected View を回避する戦術とは?”

Windows の MoTW ゼロデイ脆弱性:Magniber ランサムウェアを 0Patch が阻止する?

Actively exploited Windows MoTW zero-day gets unofficial patch

2022/10/30 BleepingComputer — Windows 10/11 の積極的に悪用されているゼロデイに対して、無料の非公式パッチがリリースされた。この脆弱性は、不正に署名されたファイルが、Mark-of-the-Web セキュリティ警告を回避するというものだ。先週末に BleepingComputer は、スタンドアロンの JavaScript ファイルを悪用する脅威アクターが、被害者のデバイスに Magniber ランサムウェアをインストールしていることを報告した。

Continue reading “Windows の MoTW ゼロデイ脆弱性:Magniber ランサムウェアを 0Patch が阻止する?”

7-zip のセキュリティが強化:インターネットからのファイルに Mark-of-the-Web 識別子を付与

7-zip now supports Windows ‘Mark-of-the-Web’ security feature

2022/06/21 BleepingComputer — 7-zip は長年の要望に応え、Windows のセキュリティ機能である Mark-of-the-Web のサポートを追加し、悪意のダウンロード・ファイルに対する保護を強化した。それにより、Windows は、Web からダウンロードされた Mark-of-the-Web (MoTW) と呼ばれるドキュメントや実行ファイルに対して、’Zone.Id’ 代替データストリームを追加する。

Continue reading “7-zip のセキュリティが強化:インターネットからのファイルに Mark-of-the-Web 識別子を付与”

Microsoft の方針転換:Office VBA MoTW マクロはディフォルトで OFF

Microsoft plans to kill malware delivery via Office macros

2022/02/07 BleepingComputer — 4月上旬より Microsoft は、インターネットからダウンロードした VBA マクロを、いくつかの Microsoft Office アプリで有効にし難くし、脅威アクターたちに好まれるマルウェア配布方法を、事実上死滅させることを発表した。悪意の Office 文書に埋め込まれた VBA マクロの悪用は、Emotet/TrickBot/Qbot/Dridex などのマルウェをフィッシング攻撃でプッシュする際の、きわめて一般的な手法である。

Continue reading “Microsoft の方針転換:Office VBA MoTW マクロはディフォルトで OFF”