文書ファイルを巧妙に悪用する標的型攻撃を確認――トレンドマイクロ

セキュリティ対策製品の検知を逃れるための“工夫”がなされていた。

[ITmedia]

　トレンドマイクロは4月9日、2012年3月度のインターネット脅威レポートを発表した。文書ファイルを巧妙に悪用する標的型攻撃を確認したとしてその手口を報告している。

　同社によると手口は複数あり、一つはパスワードで暗号化した「doc」形式の文書ファイルをメールに添付し、そのパスワードを別のメールで送付するというもの。これとは別に、不正プログラムを2つのコンポーネントに分けてzip形式で圧縮して送付する攻撃も見つかった。zipファイルを解凍すると、「doc」形式の文書ファイルと「dll」ファイルが表示される。文書ファイルを実行することで2つのファイルが連携し、外部から端末を操作するための不正なコードが実行されてしまう。

　こうした手口はセキュリティソフトなどの検出を逃れるのが目的とみられ、パスワードが記載された別メールを送ることで正規メールのように見せかけたり、個々のファイルが不正なものでないように見せかけたりしているという。

分割された不正ファイル群（トレンドマイクロより）

　また不正プログラム検出状況は、国内ではPCゲームを起動する不正プログラム「CRCK_PATCHER」が、世界ではユーザーの意図とは異なる動作を引き起こすアドウェア「ADW_YONTOO」や「ADW_KRADARE」が多数見つかった。国内ユーザーからの被害報告ではではWebサイトの改ざんに関与するとみられる「JS_IFRAME」や「TROJ_FAKEAV」「TROJ_ZACCESS」の報告が目立っている。