Excel経由でのマルウェア感染に要注意 Fortinetが新たな手口を公開：セキュリティニュースアラート

FortinetはExcelファイルを通じて情報窃取型マルウェアを配布する新たな手口を発表した。この攻撃はExcelファイル内のVBAマクロから始まり、最終的にWebブラウザのデータまでを窃取する。

[後藤大地，有限会社オングス]

　Fortinetは2024年2月5日（現地時間）、「Microsoft Excel」（以下、Excel）ファイルを使って情報窃取型マルウェアを配布する新たな手口を公開した。このサイバー攻撃は2023年8〜9月に報告されたベトナムを拠点とする脅威グループとの関連が指摘されている。

FortinetはExcelファイルを使って情報窃取型マルウェアを配布する新たな手口を公開した（出典：FortinetのWebサイト）

VBAマクロを悪用したマルウェア配布戦略　その詳細な手口は？

　この攻撃の第1段階はVBAマクロを含むExcelファイルから始まる。VBAマクロから「PowerShell」が実行され、「Windows Update.bat」と呼ばれるバッチファイルが「filebin.net」からダウンロードされる。

　Windows Update.batは難読化されており、その内容についてはPowerShellを実行して「test.vbs」という「VBScript」ファイルを「gitlab.com」からダウンロードするものだ。test.vbsは2023年8月に観測された攻撃キャンペーンの中間段階で使われるスクリプトとほぼ同じであり、「script.py」「Document.zip」「bypass.vbs」という3つのファイルをgitlab.comからダウンロードする。レジストリーキー「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run」に「WinUpdater」という名前の値を作成し、ユーザーがログインしたときにbypass.vbsを自動実行する処理が書かれている。

　script.pyはソースコード難読化ツール「PyObfuscate」によって難読化されているため、実行するには追加のモジュールが必要になる。Document.zipにはそのためのモジュールが含まれている。

　2023年8月に観測されたscript.pyと異なり、今回のケースではscript.pyはWebブラウザのCookieやログインデータのみを窃取する。対象となるWebブラウザは「Google Chrome」や「Microsoft Edge」といったメジャーなものからローカル市場に焦点を当てたマイナーなものまで幅広く存在する。

　収集されたデータはZIPファイルとして圧縮され、日付や被害者の国、IPアドレス、言語、パスワード数、Cookie数を含むメッセージとともに攻撃者のTelegram botへと送信される。この他、調査の過程で「Microsoft Word」ファイルを使って似たような手口でマルウェアへの感染を狙う攻撃キャンペーンも確認されている。

　Fortinetの今回の分析によって脅威アクターがマルウェアキャンペーンを幾つかの単純なダウンローダーに分割し、オープンプラットフォームを使ってダウンロードを実施していることが明らかになった。オープンプラットフォームを使うことで検出を回避する狙いがあるものとみられている。