トレンドマイクロは3月27日、1月にマイクロソフトが注意喚起したMicrosoft WordおよびExcelの不正なマクロが、現在でも増加していることをセキュリティブログで明かした。
マクロ自体は、WordやExcelの文書作成において、コマンドやコードによって作業を自動化するもの。不正なマクロの多くは、自動実行の機能を悪用し、別の不正なプログラムを勝手にダウンロードしたり、利用者に実行を促したりする。
スパムメールで不正なマクロを配布
今回確認されたケースは、航空会社の「Air Canada」の電子航空券を装い、メールに不正なマクロが添付するというもので、情報窃取型不正プログラムのダウンローダーだ。
攻撃の仕組みは、感染したPCにバッチファイル(拡張子:bat)や VBScript(拡張子:vbs)、PowerShell Script(拡張子:ps1)を作成する。これにより、より深刻な被害をもたらす新たなファイルをダウンロードする。
さらに、OSをコントロールし、Microsoftが開発したコマンドコンソールおよびスクリプト言語である「Windows PowerShell」の機能を悪用する。Windows PowerShellは、2月にオンライン銀行詐欺ツール「VAWTRAK」が関連した攻撃で利用されている。
スパムメール経由でオンラインバンキングが狙われる
トレンドマイクロでは、今回のスパムメール送信活動で拡散された不正なマクロだけでなく、多くの不正プラグラムがスパムメールで配布されると指摘している。
不正なマクロの例で言うなら、添付ファイルはこれまで「DOC」「DOCM」「XLS」が主流であったが、それに加えて「XLSM」が増加し猛威をふるっている。
さらに、オンライン銀行詐欺ツール「ROVNIX」、「VAWTRAK」、「DRIDEX」、「NEUREVT」(別名:Beta Bot)といった不正プログラムの誘導を促す不正プラグラムも増える傾向があるという。