Word マクロベースのマルウェアの一種が発見され、実行されると macOS と Windows の両方のユーザーに影響を与える可能性があり、悪意のあるファイルは、実行されていることが検出されたオペレーティング システムに応じて攻撃方法を変更します。
Wordファイルは、3月16日に発見されたFortiGuard Labs によるこのファイルには、ファイルが開かれると自動的に実行される Visual Basic for Applications (VBA) コードを使用するマクロが含まれています。ユーザーが Microsoft Office でマクロを無効にしている場合、またはオンラインでプレビューしている場合、ファイルには、ユーザーにドキュメントをダウンロードしてマクロを有効にするよう誘導する画像が含まれています。
マクロが実行されると、ファイルの「comments」プロパティに保存されている Base 64 でエンコードされたデータが読み取られてデコードされます。このコードは、ファイルが開かれているオペレーティング システムを検出しようとする Python スクリプトであることが判明し、ホスト システムが macOS または Windows を実行しているかどうかに応じて、2 つの異なる機能のいずれかを実行します。
研究者の Xiaopeng Xhang 氏と Chris Navarrete 氏は、この VBA コードは既存の Metasploit フレームワークをわずかに修正したバージョンであると指摘しています。 Metasploit は、システムを攻撃するマルウェアやその他のツールの作成に使用できるオープンソースのエクスプロイト開発フレームワークですが、コンピューター セキュリティにおける正当なアプリケーションも多数あります。
macOS が検出された場合は、別の Python スクリプトが実行され、base64 でエンコードされた文字列からコードが再度抽出され、特定の URL からファイルがダウンロードされて実行されます。ダウンロードされた「meterpreter」ファイルは、やはり Metasploit フレームワークから変更された別の Python スクリプトで、サーバーによって提供されるコマンドを実行できる動的に拡張可能なペイロードとして使用されます。
ペイロードは、より多くのコマンドを取得するか、より多くのペイロード ファイルをダウンロードするために、ポート 443 を介してホストに接続することが示されています。研究者らは、サーバーへの接続の試行が失敗し、クライアントのリクエストに応答できなかったことに注目しています。ただし、サーバーへの接続を確立するために使用された Python プロセスは、失敗にもかかわらず応答の取得を試み続け、応答が到達できることを期待して持続します。後でサーバーに接続します。
検出されたオペレーティング システムに基づいて特定の機能を実行するために使用されるマルウェア コード
マクロが Windows で実行される場合、そのオペレーティング システムに対してのみ同様の関数が呼び出されます。今回は Base 64 でエンコードされたコードを使用して PowerShell を実行し、そのコードを使用して別の PowerShell スクリプトを解凍して実行します。この後者のスクリプトは 64 ビット DLL ファイルをダウンロードし、これを使用して追加の指示を得るためにサーバーとの通信を試みます。
どちらの場合も、マルウェアはデータに直接損害を与えたり漏洩したりすることはありませんが、感染したシステムはオンライン サーバーからのさらなる指示を待つ状態になります。チェックしないままにしておくと、さらに悪意のあるコードがダウンロードされ、ランサムウェアのインストールやユーザーのキーチェーンへのアクセスなど、ユーザーのデータにさらなる損害を与えたり、感染したシステムを他の不正な目的に使用したりする可能性があります。
Word マクロはマルウェアの攻撃経路としてよく知られており、Windows ユーザーへの感染に主に使用されている比較的古い手法です。 2 月に研究者らは、次のバージョンを発見しました。マクロマルウェアこれは、悪意のあるペイロードをサーバーからダウンロードする同様の方法を使用して macOS を狙ったものでしたが、やはり発見時にはペイロード自体を表示することはできませんでした。
この最新のマルウェアは、同じファイルを使用して Windows と Mac の両方のユーザーを攻撃することにより、各オペレーティング システムに合わせた 2 つの別個のバージョンを拡散するのと比較して、潜在的な感染を最大化するという原則をさらに一歩進めているようです。
新しい Word マクロ攻撃は、Mac を標的とした他のマルウェアが多数発見された直後に発生しました。 2月には、MacDownloader マルウェア偽の Flash アップデートで米国の防衛産業を狙った一方、別の報告書ではXagentのMac株、2016年の米国大統領選挙に干渉した疑いで告発されたのと同じロシアのハッカーグループによって作成されたとされている。
![Apple本社で撮影されたiPhone Xのビデオは、Apple Pay、アニ文字の実用的な使い方を示しています [u]](https://photos5.appleinsider.com/gallery/23382-29432-Screen-Shot-2017-10-24-at-101548-AM-xl.jpg)
