is702

マクロを悪用しZBOTに感染させる攻撃

2014/04/07

トレンドマイクロは4月4日、同社ブログで、「マクロを有効にした文書ファイルが再び悪用 オンライン銀行詐欺ツール『ZBOT』などの感染に誘導する」と題する記事を公開しました。

「メリッサウイルス」など、マクロを利用した攻撃は、2000年代初期に猛威を振るいましたが、その後すぐに下火となりました。しかしトレンドマイクロは2014年4月に、マクロ有効ファイルを利用した攻撃を確認したとしています。

それによると、このマクロ有効ファイル「TSPY_ZBOT.DOCM」は、事務弁護士会からのEメールを装ったスパムメールに添付されたファイルを介して侵入します。

添付ファイルを開くと、「This sample [redacted] message requires Macros in order to be viewed. Please enable Macros to be able to see this sample.(訳:このサンプル<省略>メッセージを表示するには、マクロが必要です。メッセージをご覧になるためには、マクロを有効にしてください。)」というメッセージが表示されます。それ以外は空白に見えますが、実際は埋め込まれた不正プログラムのコードが含まれており、白のフォントで隠されていることが明らかになりました。マクロ機能を有効にすると、不正プログラム「ZBOT」を作成するスクリプトが実行されます。

別の不正なマクロ有効ファイルは、支払い送金に関するスパムメールの添付ファイル(「W97M_SHELLHIDE.B」として検出)として確認されました。この文書も、一見空白に見えますが、ユーザがマクロを有効にすると、インターネットに接続し不正プログラムをダウンロードし実行します。

これらの攻撃は、古い手法がいまだに新たなものと同じくらい有効であるということを示しています。ユーザは、Eメールの添付ファイルを開く際は、たとえ知り合いやよく知っている送信先からのものであっても、常に警戒するよう、トレンドマイクロでは呼びかけています。