PowerPointのハイパーリンク悪用、ホバーだけでマルウェアをインストール

headless曰く、　PowerPointのスライドショー形式ファイルを使い、マルウェアをインストールさせるスパムキャンペーンが5月下旬に発生していたそうだ（TrendLabs Security Intelligence Blog、Dodge This Security、Neowin、Ars Technica）。

　使われたファイルは.pps/.ppsxファイルで、直接プレゼンテーション/スライドショーモードで起動する。マクロやVBAなどは使われておらず、ハイパーリンクのmouseoverアクションにPowerShellでマルウェアをダウンロードしてインストールさせる処理が指定されているという。なお、今回のスパムキャンペーンではZusyやOTLARD、Gootkitなどと呼ばれるインターネットバンキングを対象にしたトロイの木馬がインストールされるようになっていたそうだ。

　このファイルは明細書のようなタイトルのスパムメールに添付して送付され、被害者がファイルを開くと「Loading...Please wait」というテキストがハイパーリンクとして表示される。あとは被害者がハイパーリンク上にマウスをホバーするだけでアクションが実行される仕組みだ。

　PowerPoint 2010以降では保護ビューが既定で有効になっており、ハイパーリンクをホバーした際に外部プログラムの実行をブロックしたというメッセージが表示される。ただし、メッセージ上のボタンで実行の有効化を選択すればブロックは解除されてしまうとのこと。

　Trend Microの観測によれば、このスパムキャンペーンはEMEA地域、特に英国、ポーランド、オランダ、スウェーデンの組織が影響を受けたといい、ピーク時の5月25日には1,444件の検出が報告されたそうだ。しかし翌26日には782件に減少し、29日には収束したとのことだ。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | マイクロソフト | spam

　関連ストーリー：
Symantec、Torrentユーザーをセキュリティリスクから保護するシステムの特許を取得 2017年06月10日
特定ユーザーが共有フォルダから実行ファイルをコピーした場合のみマルウェアに置き換えるCIAのツール 2017年06月07日
Windowsのマルウェア対策エンジンのバグ、2日で修正されたバグ以外のバグも報告されていた 2017年06月01日
Android向けマルウェアを使って感染者から多額の資金を盗んでロシアのハッカーグループ、摘発される 2017年05月26日