Office マクロマルウェアの作成と販売の疑いでオランダの 20 歳の男性が水曜日に逮捕された。
オランダ国家警察のハイテク犯罪チーム(THTC)は、警察が自宅に急行した際にコンピューターを操作中に手錠をかけられた名前不明の男が、Rubella、Cetan、およびDryadのマルウェアキットの構築、販売、およびサポートに関与していたと主張した。
これらのツールキットを使用することで、犯罪者は悪意のあるマクロコードを埋め込んだOfficeファイルを作成することができました。被害者がファイルを開くと(通常はスピアフィッシングやスパムメールによって配信されます)、マクロコードがマルウェアのペイロードをダウンロードして開きます。
マクロ攻撃は比較的古くから存在し、より特殊なエクスプロイトや他の感染形態のようにニュースの見出しを飾ることはありませんが、汚染された文書は、犯罪者が被害者のマシンに悪意のあるコードを忍び込ませるための、今でも実績のある手段です。特に、従業員があまり精査することなく文書を開くことに慣れている企業レベルではなおさらです。警察によると、今回のケースでは、マクロキットは他のクライムウェアパッケージと同様に洗練され、プロフェッショナルなものとなっていました。
「このツールキットは、さまざまな地下フォーラムで派手なバナーを使って販売されていた」と、オランダ警察が犯人を追跡するのを支援したマカフィーのエンジニア、ジョン・フォッカー氏とトーマス・ロッチャ氏は述べた。
「月額 500 ドルで、このツールキットを使用して、エンドポイント セキュリティ システムを回避し、悪意のあるペイロードを配信したり、任意の PowerShell コードを実行したりする Office ドキュメントを武器化することができます。」
リクルーターは本当に有害だと考えられている:GitHubの開発者が罠を仕掛けた偽の求人メールに襲われる
続きを読む
一見洗練されたサービスであるにもかかわらず、マカフィーのチームは、開発者が捜査官の追跡に役立つ重要な手がかりをいくつか残したと述べています。具体的には、オランダとの明らかなつながりです。
フォッカー氏とロッシア氏は、作成者が、ローカライズされたバージョンのWindowsのマルウェア対策ツールを回避するマルウェアのスクリーンショットをフォーラムに投稿したことで突破口が開かれたと述べた。
「オランダ人の研究者である私にとって、このスクリーンショットはMicrosoft Wordのオランダ語版が使われていたため、すぐに目を引きました」と2人は説明した。「オランダ語は非常に珍しい言語で、世界人口のごく一部しか話せません。ましてや、それを使うサイバー犯罪者の割合はさらに少ないのです。」
マカフィー氏によると、その時点でチームは攻撃ファイルのメタデータに含まれる手がかりに焦点を当てた。THTCも協力し、最終的に手がかりとスクリーンネームをユトレヒト在住の人物にまで遡って追跡することができた。
逮捕後、警察は、男がマルウェアの販売で約2万ユーロ相当の仮想通貨を稼いだと述べた。容疑者は裁判を待つ間、この金は押収された。また、カードスキミング情報や数千のウェブサイトのログイン情報も所持していたとされている。®
