この絶え間なく成長し、変化し続ける世界では、脅威が非常に一般的になり、検出が非常に困難になっています。そのため、保護を維持することは、ハッカーの一歩先を行くことだけです。
サイバーセキュリティ会社のソフォスによると、攻撃者は、公開されている概念実証用のOfficeエクスプロイトを利用して、Formbookマルウェアを配信するためにそれを武器にすることができました。
おそらく、攻撃者は、今年初めにパッチが適用されたMicrosoftOfficeの重大なリモートコード実行の脆弱性を回避できる新しいエクスプロイトを作成することに成功しました。
攻撃者は、エクスプロイトで重要なMicrosoftOfficeパッチをバイパスしました
マイクロソフトは9月に、悪意のある実行可能ファイルを含むMicrosoftキャビネット(CAB)アーカイブをダウンロードするWord文書に埋め込まれた悪意のあるコードを攻撃者が実行するのを防ぐパッチをリリースしました。
攻撃者は、元のエクスプロイトを作り直し、悪意のあるWord文書を特別に細工したRARアーカイブ内に配置することで、元のパッチを正常に回避できる「CABレス」形式のエクスプロイトを作成しました。
驚いたことに、この最新のエクスプロイトは、スパムメールを使用して約36時間配布された後、完全に消滅しました。ソフォスの研究者は、このエクスプロイトの寿命が限られているということは、将来の攻撃で使用される可能性のある「ドライラン」実験である可能性があると考えています。
「パッチ適用前のバージョンの攻撃には、Microsoftキャビネットファイルにパッケージ化された悪意のあるコードが含まれていました。 Microsoftのパッチがその抜け穴を塞いだとき、攻撃者は、マルウェアを別の圧縮ファイル形式であるRARアーカイブにバンドルする方法を示す概念実証を発見しました。 RARアーカイブは、悪意のあるコードを配布するために以前に使用されていましたが、ここで使用されるプロセスは非常に複雑でした。パッチの権限が非常に狭く定義されており、ユーザーがRARを開く必要があるWinRARプログラムは非常にフォールトトレラントであり、アーカイブが改ざんされているなどの不正な形式であっても気にしないため、成功した可能性があります。」 。
重要なパッチをバイパスする
調査中に、ソフォスの研究者は、責任のある攻撃者が、アーカイブ内に保存されている悪意のあるWord文書の前にPowerShellスクリプトを含む異常なRARアーカイブを作成したことを発見しました。
不正な形式のRARアーカイブとその悪意のあるコンテンツを拡散するために、攻撃者はスパムメールを作成して配布し、被害者にMicrosoftWordドキュメントにアクセスするためにRARファイルを解凍するように依頼しました。ただし、ドキュメントを開くと、デバイスがマルウェアに感染するプロセスがトリガーされました。
したがって、このタイプのソフトウェアを扱うとき、および何かがリモートで疑わしいと思われる場合でも、非常に注意してください。インターネットを扱うときは、安全を確保することが最優先事項です。