ASEC 分析チームは最近、同じタイプの不正なマクロを含んでいる Excel ファイルが、メールによって不特定多数に拡散している状況を捕捉したため、これについて紹介する。
このようなタイプの Excel ファイルの内部には、マルウェアを追加でダウンロードさせるマクロが含まれており、最近では不特定多数をターゲットとする返信メールに、脅迫的な文章や不正な Excel マクロファイルを添付しているものが確認された。
確保した EML の共通点としては、ユーザーのメールに対する返信であるかのように装って不正なマクロ付き Excel ファイルを配布していることが挙げられる。[図1]の画像から分かるように、「胃癌国際学術大会(KINGCA week 2021)」の招待メールに対する返信に偽装し、受信者にメールを確認させるように誘導している。
添付ファイルをダウンロードして確認すると、圧縮ファイル名と同じ名前の Excel ファイルが存在する。
2019年に ASEC ブログで詳細に紹介した Excel 4.0 マクロ(数式マクロ)を利用した方式は、現在までかなり頻繁に確認されているケースである。一般的に数式マクロを利用した不正な Excel ファイルは大きく分けて3つの特徴を持っているが、それらは以下の通りである。
1) シートの非表示
2) 非表示にされたシート内部には白文字で分散して隠されたマクロが存在
3) 外部 URL から追加のマルウェアをダウンロードおよび実行
本文で紹介しているファイルでもこれら3つの特徴がすべて確認されており、これは内部 XML ファイルを確認することで明確に判断できる。マクロが実行されると URLDownloadToFileA 関数を利用して hxxp://[不正な IP]/[指定の数字].dat 形式の URL から追加の実行ファイルがダウンロードされ、このようにしてダウンロードしたファイルは rundll32.exe に DllRegisterSever パラメータでロードされて実行される。
現在は当該 URL にアクセスできない関係で、どのようなマルウェアが追加でダウンロードされるのかは明確にはわからないが、これまでの攻撃事例から推測するに、ランサムウェア、BokBot、QakBot のような実行ファイルをダウンロードするものと推定される。
ユーザーは、出どころが不明なメールは閲覧しないようにしなければならず、使用しているアンチウイルス製品を常に最新バージョンにアップデートして運用する努力が必要である。
現在 V3 では、上記で紹介したファイルに対して以下のように検知している。
[ファイル検知]
Downloader/XLS.XlmMacro
Downloader/XLS.Generic
[IoC]
Hash
e53c6b9d4d5f536a7ac2a2bd3f67e4a5
9533108a07c61ab8e743c68cac25f85e
396971293048dd203c3aa05f55c49e4f
不正な URL
hxxp://190.14.38[.]118/44342.2224001157.dat
hxxp://45.138.157[.]157/44342.2224001157.dat
hxxp://176.31.87[.]211/44342.2224001157.dat
hxxp://188.119.113[.]227/44342.4386916667.dat
hxxp://2.56.244[.]8/44342.4386916667.dat
hxxp://185.141.26[.]131/44342.4386916667.dat
Categories:マルウェアの情報