キヤノンマーケティングジャパン(キヤノンMJ)のサイバーセキュリティに関する研究を担うマルウェアラボは、国内で利用されているウイルス対策ソフトウェア「ESETセキュリティ ソフトウェア シリーズ」のマルウェア検出データを基に、2019年6月のマルウェア検出状況を分析し最新のレポートを公開した。

それによると6月は、悪意のある広告を表示させるアドウェアが多数検出され、第1位はJS/Adware.Agentで、第2位はJS/Adware.Subpropだったという。どちらも、悪意のある広告を表示させるアドウェアでWeb閲覧中に実行。表示された悪質な広告をクリックすると不正なWebサイトへアクセスし、別のマルウェアをダウンロードされる可能性があるという。また、これら2種類のアドウェアは、海外でも非常に多く検出されているという。

また6月には、マルウェアDOC/Agent.DZも猛威を振るい、6月17日から6月30日までの14日間で極めて多く検出。このマルウェアの検出は6月17日にばらまかれたメールに添付されたExcelファイルが大半を占めており、メールの件名は「Re: 請求書の送付」、「ご案内[お支払い期限:06月18日]」などで、トータル7種類の件名が確認されているという。

そのExcelファイルのVBA(Visual Basic for Applications)のコードとPowerShellのコマンドには、Long Dateフォーマットの日付文字列を利用して日本語環境を検知し、感染対象を絞る処理が記述されていたという。

このExcelファイルのVBAProjectは簡単には解除できない方法でロックが掛けられており、攻撃者がVBAコードの解析の妨害をしていると考えられ、VBAコードを抽出し分析したところ、コード内のスクリプトにLong Date形式で日付を取得する処理の記述があり、日本語などの一部言語の場合は「YYYY年MM月DD日」というフォーマットで取得。このスクリプトで取得した日付の文字列に「年」が含まれている場合は、Excelのセル内の難読化された文字列を解読し、ダウンロードコマンドが作成されるが、含まれていない場合はそのまま終了。このダウンローダーは、VBAコードのwmicコマンド経由でPowerShellを起動しダウンロード処理を行うという。

PowerShellのコマンドはExcelのVBAコードと同様に日本語環境を検知する処理に加えて、インストールされているアンチウイルスソフトの情報やCPUの情報を攻撃者のサーバに送信する処理が記載されており、巧妙化。これらのことからDOC/Agent.DZは日本語環境を狙ったマルウェアと考えられるという。なお、このマルウェアは、日本以外ではほとんど検出が確認されていないという。