SophosLabsの研究者であるGabor Szapponos氏が、5月~8月にかけて"マルウェアキャンペーン"で利用された「Microsoft Word Intruder(MWI)」と呼ばれるマルウェア作成キットの詳細を暴くホワイトペーパー「Microsoft Word Intruder Revealed」を公開した。
Szapponosは数年がかりでAPT(Advanced Persistent Threat)攻撃を追跡していおり、サイバー犯罪者が利用するアンダーグラウンドマーケットで取引されているマルウェア作成キットMWIを分析した。
その名称から分かるように、MWIは「Microsoft Office」のドキュメントを悪用するマルウェアを作成できるものだ。ロシアで開発されたキットだが、世界的に利用されている。
ウイルスなどのマルウェアを作成するキットは1990年代からあり、新しいものではない。しかし、マルウェアの作成と拡散の目的は変化している。当初は反体制的な意味合いが強かったが、現在マルウェアの作者はマルウェア作成ツールを他のサイバー犯罪者にアンダーグラウンドマーケットで販売することで財務的メリットを得ることを狙っている。
一方でMWIキットが与える影響は、1990年代の古いDOSウイルス作成ツールから変わっていない。サイバー犯罪グループは、自身でエクスプリトを開発するスキルがなくても、キットを利用してマルウェア攻撃のためのOfficeのエクスプロイトにすぐにアクセスできる。
Szapponosによると、MWIは多数のマルウェアグループに利用されており、40以上のマルウェアファミリーのトロイの木馬に実装されているという。
