常に警戒を怠らないインターネット ストーム センター (SANS) のスタッフが、侵害された Word ファイルを使用して Locky ランサムウェアを投下しようとする新たなキャンペーンを発見しました。
Internet Storm Centerの担当者であるBrad Duncan氏が述べているように、Word文書内のベクトルはMicrosoft Dynamic Data Exchange(DDE)を利用しています。DDEとは、Officeアプリケーションが別のOfficeファイルからデータを読み込む機能です。これは、先週フレディマックで開始されたフィッシング攻撃で確認された攻撃手法です。
ダンカン氏は、このフローチャートで攻撃アプローチを概説しています。
画像: ブラッド・ダンカン、SANS
この攻撃を仕掛けるフィッシングメッセージはNecursボットネットから発信されており、他のDDE攻撃と同様に、ユーザーにセキュリティ警告を無視させることが目的だと彼は書いている。偽の請求書は詐欺師の好む武器だ。
攻撃者が被害者を騙すと、汚染された文書がダウンローダーを取得し、ダウンローダーが Locky のコピーを取得してターゲットで復号化します。
ランサムウェアが起動し、被害者のハードドライブを暗号化すると、Locky は削除され (ダウンローダーは残ります)、0.25 ビットコインの要求が発行されます。
ダンカン氏は次のように書いています。「これは興味深い展開です。DDE攻撃手法が大規模な拡散キャンペーンへとどのように広がっているかを示しているからです。これは新しいものではなく、実際にどれほど効果があるのかは分かりません。もし、DDEベースのOfficeドキュメントから感染した方をご存知でしたら、ぜひコメント欄で体験談をお聞かせください。」
The Register は先週、DDE (Dynamic Data Exchange) は 1987 年から存在し、攻撃者の標的としてますます人気が高まっていると指摘しました。
ユーザーは実行を承認する必要があるため、Microsoft は DDE はバグではなく機能であると断固として主張しています。®
