スライドショー形式のPowerPointファイル上に設定されたURLリンクにマウスオーバーするだけで、マルウェアに感染する攻撃について、Trend Microなどが注意を促している。
この攻撃では、メールに添付されたスライドショー形式の.pps/.ppsxファイルに設定されたハイパーリンクのmouseoverアクションに、オンラインバンキング情報を窃取するマルウェア「OTLARD(別名:Gootkit)」をPowerShellでダウンロードしてインストールさせる処理が設定されており、処理自体はバックグラウンドで行われ、その最中には「Loading… Please wait」と表示されるという。
スパムメールの例。件名は「purchase orders」
ただし、Office 2010以降では、インターネットからダウンロードしたファイルは、既定では「保護ビュー」で表示される。このため、このファイルを開いてハイパーリンクにマウスを重ねると、セキュリティ警告のメッセージが表示される。ここで「Enable(有効)」を選べば、そのままPowerShellで処理が実行され、マルウェアがインストールされてしまう。
「保護ビュー」ではセキュリティ警告のメッセージが表示される
.pps/.ppsxファイルに埋め込まれたペイロード
Trend Microによれば、このメールによる攻撃は、特に英国、ポーランド、オランダ、スウェーデンで観測され、5月25日には1444件が検出された。しかし、26日には782件に減少、続く29日には攻撃がほぼ収束したという。これについてTrend Microでは、技術の見せかけの目新しさを考えると、今後の攻撃のための予行演習として解釈できるとしている。
さらに、サイバー犯罪者はウェブサイトを乗っ取り、C&Cサーバーとの通信インフラとして使用し、こうしたスパムメールを送信しているとしている。
関連リンク TrendLabs Security Intelligence公式ブログの該当記事(英文)
関連記事
Twitter.com、勝手にRTする脆弱性を修正、マウスオーバー問題の全容を報告
2010年9月22日
Windowsに新たなゼロデイ脆弱性、PowerPoint悪用の標的型攻撃も既に発生
2014年10月22日
Wordにおけるゼロデイ脆弱性、McAfeeとFireEyeが注意喚起
2017年4月10日
Word/ワードパッドの脆弱性を突いて感染、“銀行ウイルス”ばらまき型メール攻撃が発生
2017年6月9日