Microsoft、ExcelおよびWordユーザーに対するAdnelおよびTarbirトロイの木馬攻撃の増加について警告
Microsoftは、Microsoft Officeユーザーに対し、ExcelやWordプログラムのマクロを通じたマルウェア攻撃が大幅に増加していると警告した。に掲載されたレポートでは、ブログ, Microsoft は、2 つの異なるトロイの木馬ダウンローダーを広めるマルウェア キャンペーンが 3 倍以上急増していると述べています。これらのトロイの木馬ダウンローダーは、注文や請求書を装った電子メールで届きます。
Microsoft の発表によると、マルウェアは次の件名を含むスパムメールを通じて拡散されています。
- ACHトランザクションレポート
- レポート用の DOC ファイルが準備できました
- 要求に応じた請求書
- 請求書 – P97291
- 注文 – Y24383
- お支払い詳細
- Engineering Solutions Ltd からの送金アドバイス
- 自動手形交換所取引が開始されました
また、Adnel キャンペーンと Tarbir キャンペーンを含む添付ファイルには通常、次のような名前が付けられます。
- 20140918_122519.doc
- 813536MY.xls
- ACH 転送 0084.doc
- 自動手形交換所送金 4995.doc
- BAC474047MZ.xls
- 請求の詳細 4905.doc
- CAR014 151239.doc
- ID_2542Z.xls
- 燃料請求書.doc
- 注文の詳細 9650.doc
- 支払いに関するアドバイス 593016.doc
- 配送の詳細 1181.doc
- 出荷請求書 1677.doc
- 出荷番号doc
Microsoft Technet ブログによると、2 つのトロイの木馬ダウンローダー、TrojanDownloader:W97M/Adnel と TrojanDownloader:O97M/Tarbir が、スパムメールやフィッシング キャンペーンを通じて急速に拡散されています。心配なのは、彼らは家庭用 PC ユーザーと企業顧客の両方をターゲットにしており、被害者のほとんどは米国と英国に拠点を置いています。
Microsoft はデフォルトで Office でのマクロの実行をブロックすることを決定したため、トロイの木馬の作成者/ハンドラーは、ドキュメントの内容はマクロが有効になっている場合にのみ表示できることを示す通知をドキュメントに追加します。マルウェアが含まれた Word 文書または Excel シートを開くと、被害者はマクロが無効になっているというデフォルトのセキュリティ警告を受け取りますが、一部のユーザーはこのメッセージを無視してマクロを有効にし、トロイの木馬のダウンローダーによる PC の感染を許可します。
Microsoft Malware Protection Center の Alden Pornasdoro 氏によると、「説明文書、金銭的な内容を含むスパムメール、および一見関連性があるように見えるファイル名の組み合わせは、疑いを持たないユーザーに [コンテンツを有効にする] ボタンをクリックさせるのに十分である可能性があります。」
トロイの木馬のダウンローダーがダウンロードされると、感染したシステムに他のより危険なマルウェアのインストールを開始します。 Microsoft は、ユーザーが送信する請求書や注文の大部分にはマクロは必要ありませんが、そのような注文や請求書に遭遇した場合は、そのような文書やシートを選択して実行する必要があると述べています。
