戻る


画像からマルウェアに感染、請求書などを装った添付Excelファイルに注意 

バンキングマルウェアに感染させるExcelファイルが添付されたメール

 画像ファイルにPowerShellスクリプトを埋め込み、マルウェアに感染させるメールが10月24日以降に拡散したとして、キヤノンITソリューションズ株式会社(キヤノンITS)が注意を促している。

 キヤノンITSが公開した10月のマルウェア検出レポートによれば、同メールに添付されたExcelファイルはダウンローダーとして機能し、最終的に画像へのデータ隠蔽技術を悪用したバンキングマルウェアをダウンロードするという。

メールに添付されていたExcelファイルの内容

 Excelファイルを開き「コンテンツの有効化」をクリックすると、マクロが実行されていったんコマンドプロンプトが起動する。その後、コマンドを実行することで、C&Cサーバーから画像をダウンロード。画像解析後に埋め込まれたPowerShellスクリプトがバンキングマルウェアをダウンロード/実行する。

 この画像には、データ隠蔽技術である「ステガノグラフィー」という手法が用いられており、画像ファイルとしてダウンロードさせることで、アンチウイルス製品の検出・解析を回避しようとするもの。

マクロ実行後の主な流れ

実行するコマンド。PowerShellの起動やC&Cサーバーから画像をダウンロード

 画像は一見するとプリンターのイラストに見えるが、PowerShellスクリプトが埋め込まれている。スクリプトは難読化されており、中身はC&Cサーバーにある別のマルウェアをダウンロードするようになっている。このスクリプトが実行されることで、バンキングマルウェアである「Bebloh」や「Ursnif」に感染する。

ステガノグラフィーが用いられた画像のスクリーンショット

 なお、このメールに使用されていた件名は以下の通り。

申請書類の提出 請求データ送付します 注文書の件 納品書フォーマットの送付 立替金報告書の件です。

 不審なメールを安易に開かないことに加えて、添付されたExcelファイルのマクロを実行しないなどの対策が必要になる。

原文リンク

本站帖子來源於互聯網,轉載不代表認可其真實性,亦不代表本站觀點!
關於本站| 官方微博| 私たちの関心網| よくある問題| 意見反饋|copyright 私たちの関心網