信頼できないソースからの Adobe Flash または Microsoft Office ファイルを開かないようにする別の理由が必要な場合: ThreadKit は、開くと脆弱な PC にマルウェアを感染させるドキュメントを作成するアプリですが、最近修正された Flash のセキュリティ バグをターゲットにしています。
つまり、熟練していないハッカーでも ThreadKit を使って罠を仕掛けた Office ファイルを作成し、それを電子メールやダウンロードで被害者に送りつけることができる。そうすることで、パッチを当てていないシステムでそのファイルを表示すると、Flash のセキュリティホールを通じてファイル内の悪意のあるコードが実行されることになる。
数日前からエクスプロイト コードのサンプルが出回り始めました。
Adobeは2月にCVE-2018-4878のパッチを公開し、悪質なFlashコンテンツが埋め込まれたMicrosoft Officeドキュメントを通じてこの脆弱性を悪用する攻撃が広まっていると警告した。
このエクスプロイトが ThreadKit に組み込まれて以来、この最新の Flash バグを悪用する悪質なファイルの例がウイルス対策エンジンに現れ始めました。
「ThreadKitのようなドキュメントエクスプロイト構築キットにより、スキルの低い脅威アクターでも最新の脆弱性を利用してマルウェアを配布することが可能になる」と情報セキュリティ企業のProofpointは先月末のブログ投稿で説明した。
Adobe Flash が廃止されて以来、エクスプロイトキットの開発はひどい状況になっている
続きを読む
Pastebin に投稿された Virus Total ハッシュに基づくと、かなりの数のエクスプロイトの亜種が出回っているようです。
セキュリティ研究者の Claes Splett 氏は、ThreadKit で CVE-2018-478 エクスプロイトを構築するビデオを YouTube に投稿しました。
このエクスプロイト コードは、Flash Player バージョン 23 から 28.0.0.137 に影響を及ぼす欠陥を悪用します。
この修正はFlash Playerバージョン28.0.0.161以降で適用されます。Flash Playerの最新バージョンは29.0.0.113です。
Proofpoint によれば、ThreadKit は、Chthonic や Trickbot などのバンキング型トロイの木馬や、FormBook や Loki Bot などのリモート アクセス型トロイの木馬などのマルウェア ペイロードを配布するエクスプロイトの作成に使用されてきたとのことです。
マイクロソフトの広報担当者はThe Registerへの声明で、「Adobe Flash Playerに影響を与えるこの脆弱性からお客様を保護するため、2018年2月にセキュリティアップデートをリリースしました。今後もAdobeと緊密に連携し、Adobeのアップデートプロセスに沿った高品質な保護を提供していきます」と述べた。
ここでの教訓はこれまでと同じです。つまり、パッチをこまめに適用し、Flash を完全に削除することを検討し、知らない人 (または、できれば誰からでも) からの電子メールの添付ファイルを開かないでください。®
