より精巧になった不正な PPT を通じて AgentTesla が拡散中 Posted By Hansoyoung , 2021年 December 7日 ASEC 分析チームは、昨年から拡散が続いている不正な PPT ファイルについて紹介してきた。最近では、不正な PPT ファイルで実行されるスクリプトに、様々な不正な機能が追加されたことが確認された。不正な PPT ファイルが実行される方式はこれまでに紹介してきたものと同じであり、不正なスクリプトによって追加でマルウェアの実行、Anti-AV、UAC bypass 等の機能を遂行する。 PPT ファイルを開くと、従来と同様、以下のようにマクロを含むかどうかを選択する警告ウィンドウが表示される。このとき、マクロを含むボタンを選択すると不正なマクロが自動で実行される。…
Outlook.exe を利用した不正な PPT マクロが拡散中 Posted By Hansoyoung , 2021年 October 21日 最近、ASEC 分析チームは拡散が続いている不正な PPT ファイルの変形を確認した。従来のものと同じく mshta.exe を利用して不正なスクリプトを実行する動作方式であり、プロセスの中間で outlook.exe プロセスを利用する方式が追加された。 不正な PPT ファイルは以下のようにフィッシングメールの添付ファイルを通じて配布されており、購入の問い合わせに関する内容を含んでいる。また、過去のタイプと同じく不正な PPT…
ファイルレス形式で動作する Remcos RAT マルウェア Posted By Hansoyoung , 2021年 July 28日 ASEC 分析チームは、不正な Excel マクロファイルによって Remcos RAT マルウェアが配布されていることを確認した。Remcos RAT マルウェアについては、本文下段に掲載した記事のリンクで詳しく紹介している。スパムメールを通じて流入する方式は同じだが、複数段階のローダーを経て最終的に Remcos RAT マルウェアがファイルレス形式で動作する点が注目すべき部分だと言える。…
謝金依頼書に偽造した不正な Word(External 接続 + VBA マクロ) Posted By Hansoyoung , 2021年 April 1日 ドキュメント型マルウェアが流行中といっても過言ではないほど様々な形式の不正なドキュメント(HWP、WORD、EXCEL、PDF 等)が出回っており、AhnLab ASEC 分析チームもこれまでに多数の関連内容を提供してきた。そして、今回も新たな形式の不正な Word ドキュメントが確認されたため、これについて紹介する。 「謝金支給依頼書」に偽造した不正な Word 形式で、従来のものとやや異なる点は、不正な External 接続と VBA…
