様々な画像を含んで配布される Excel 4.0 マクロ

ASEC 分析チームは Excel 4.0 マクロ(数式マクロ)を利用した不正な Excel ファイルが継続的に拡散していることを確認した。このマルウェアは5月にも不特定多数にメールを介して拡散したことがあり、現在までに多数が確認されているため、ユーザーの注意が必要である。

不正な Excel ファイルの内部にはマクロの実行を誘導する画像が含まれており、以下は現在拡散中のファイルで使用されている画像である。

[図1] 内部画像1
[図2] 内部画像2
[図3] 内部画像3
[図4] 内部画像4

このマルウェアは名前の管理に Auto_Open で特定セルを設定し、マクロを実行するとそのセルにある数式が自動で実行され、不正な行為を実行する。数式は主に非表示にされたシートに存在するか、数式が存在するセルの列を非表示にすることで、当該セルが存在しないかのように見せかけている。

[図5] 非表示にされたシートと名前の管理
[図6] シート内部の非表示列

最近確認されたファイルでは、シートの非表示だけでなく名前の管理に設定された名前が表示されないようにしている。Excel 内部の xl\workbook.xml ファイルで[図7]のように設定した名前に hidden 属性を付与し、ユーザーが名前の管理を開いたときに設定された名前が存在しないかのように見せている。

[図7] xl\workbook.xml の内部
[図8] 左:非表示属性が設定されたファイル / 右:非表示属性が変更されたファイル

不正なファイルの内部には、従来と同様に数式マクロが複数のシートに分散しているか、または白文字で記入されており、ユーザーに容易に気付かれないように構成している。

[図9] 複数シートに分散して隠されている数式マクロ
[図10] 分散して隠されている数式マクロ

マクロを実行すると、以前と同様に URLDownloadToFileA 関数を利用して追加の不正なファイルをダウンロードする。追加ファイルのダウンロード URL は hxxp://[IP]/[特定の数字 or 文字列].dat または .png、.dat 等で構成されている。ダウンロードされた不正なファイルは regsvr32.exe を介して実行され、当社の自動解析システム「RAPIT」で確認される行為は以下の通りである。

[図11] プロセスツリー

現在はダウンロードが実行されず、ダウンロードされた不正なファイルのタイプを明確に把握することはできないが、主に TrickBot 等の情報流出型マルウェアをダウンロードするものであると確認されている。

不正なマクロシートが含まれている Excel ファイルは主にスパムメールによって配布されるため、不明なユーザーから送信されたメールに対して、ユーザーは特に注意が必要である。出どころが不明なメールに添付されたドキュメントファイルのマクロは、実行しないようにしなければならない。

AhnLab V3 プロダクトラインでは、本文で紹介したタイプの不正な Excel ファイルに対して以下のように検知している。

[ファイル検知]

  • Downloader/MSOffice.Generic
  • Downloader/XML.XlmMacro

[IOC 情報]

  • a40f40480e508854fd9f01682b0d64c2
  • ec642e8c5e02eb1e706b68dbfa87b22e
  • 5371c466a1f4c0083d4f9b7d6a2248e6

0 0 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments