あの手この手で・・・
窓の杜の記事に、 「VirusTotal」の検出率0% ~オープンドキュメント形式(ODF)のマルウェアが確認される てのがありました。
米HPのセキュリティ部門HP Threat Researchは、オープンドキュメント形式ファイルのマルウェアがラテンアメリカのホテル業界を標的にしているとして注意を喚起しているそうです。
記事によると・・・
今回、確認されたマルウェアはテキスト文書(ODT)の体裁をとっており、開くと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが現れる。その意味がわからないユーザーが安易に[はい]ボタンを押してしまうと「Excel」が開き、今度はマクロを有効にするかを問うダイアログが現れる。マクロを有効にすると、感染チェーンがトリガーされ、最終的に「AsyncRAT」と呼ばれるマルウェアペイロード(そのファイルで運ばれているマルウェアの実体)が実行される。
だそうです。この”オープンドキュメント形式”というのは、記事にもあるように、特定のベンダーに依存しないISO標準のファイル形式で、「LibreOffice」や「Apache OpenOffice」などでサポートされており、最近では「Microsoft Office」も最新の「ODF 1.3」をサポートしています。
テキスト形式というと、MS OfficeのWordの「.docx」の形式が多いかと思いますが、この「.odt」の形式はOSSの「LibreOffice」や「Apache OpenOffice」では、標準の形式として利用されています。
ですので、普段MS Officeだけしかご利用でない方にとっては未知のファイル形式かもしれません。
今回はその未知のファイル形式を利用してマルウェアの拡散を狙っているようです。
以前の本ブログの Emotetにショートカットファイル「.lnk」をクリックさせる新たな攻撃手法が発見される とのエントリーにて、マルウェアのEmotetの新たな感染手法としてExcelのマクロではない、ショートカットファイル「.lnk」を利用した手法をご紹介しました。
このショートカットファイル「.lnk」も一般の方は普段はあまりお目にかからないファイル形式だと思います。
攻撃者はこういった、一般の方には馴染みのないファイル形式を利用して、訳のわからないままにユーザーが安易に[はい]ボタンを押してしまうことを期待しています。
メールに馴染みのない形式のファイルが添付されている場合は、安易に開封せずに必ず管理者にご相談ください。管理者がいない場合には、IPAの 情報セキュリティ安心相談窓口 などにご相談ください。
今回は、ラテンアメリカのホテル業界が標的となりましたが、同様の攻撃手法は世界中に広まる可能性が十分にあります。メールの添付ファイルや記載のURLへのアクセスには十分にご注意ください。