この成長し続けるオンラインの世界では、脅威が非常に一般的で検出が困難になっているため、安全を維持することは攻撃者の一歩先を行くことの問題です。
サイバーセキュリティ会社Sophosが発表した新しい調査結果によると、第三者の攻撃者は、公開されている実験的なOfficeエクスプロイトを利用して、Formbookマルウェアを配信することができました。
攻撃者は、今年初めに修正されたMicrosoftOfficeの重大なリモートコード実行の脆弱性を回避できるエクスプロイトを作成したとされています。
攻撃者は、エクスプロイトを使用して重要なMicrosoftOfficeパッチをバイパスします
すべてがどのように始まったかを理解するために、それほど長く戻る必要はありません。9月に、Microsoftは、攻撃者がWord文書に埋め込まれた悪意のあるコードを起動するのを防ぐためのパッチをリリースしました。
この脆弱性は、悪意のある実行可能ファイルを含むMicrosoftキャビネット(CAB)アーカイブを自動的にロードしました。
これは、元のエクスプロイトを作り直し、悪意のあるWordドキュメントを特別に細工されたRARアーカイブに配置することで実現されました。これにより、元のパッチを正常にバイパスできるエクスプロイトの形式が提供されました。
さらに、この最新のエクスプロイトは、完全に消滅する前に約36時間、スパムを介して被害者に配信されました。
ソフォスのセキュリティ研究者は、このエクスプロイトの寿命が限られているということは、将来の攻撃で使用される可能性のある試行的な実験である可能性があると考えています。
修正前の攻撃のバージョンでは、Microsoftキャビネットファイルにパッケージ化された悪意のあるコードが使用されていました。Microsoftのパッチがその抜け穴を塞いだとき、攻撃者はマルウェアを別の圧縮ファイル形式であるRARアーカイブに組み合わせる方法を示す概念を発見しました。以前は、悪意のあるコードを配布するためにRARアーカイブが使用されていましたが、ここで使用されるプロセスは非常に複雑でした。ほとんどの場合、これが可能だったのは、パッチの範囲が非常に狭く定義されていて、ユーザーがRARを開く必要があるWinRARプログラムが非常に障害耐性があり、アーカイブが間違った形式であるかどうかを気にしないためです。たとえば、偽造のために…
また、攻撃者が異常なRARアーカイブを作成し、PowerShellスクリプトがアーカイブ内に保存されている悪意のあるWord文書を追加していることも発見されました。
この危険なRARアーカイブとその悪意のあるコンテンツの拡散を促進するために、攻撃者はスパムメッセージを作成して配布し、被害者はWord文書にアクセスするためにRARファイルを解凍するように求められました。
したがって、このソフトウェアを扱うとき、および何かがリモートで疑わしいと思われる場合でも、それを覚えておくとよいでしょう。
私たちがインターネットをサーフィンするとき、セキュリティは私たち全員にとって最優先事項でなければなりません。最初は無害に見えるかもしれない単純な行動は、一連の深刻な出来事と結果を引き起こす可能性があります。
あなたもこれらのマルウェア攻撃の犠牲者になりましたか?以下のコメントセクションで私たちとあなたの経験を共有してください。
コメントを残す