検索:
ホーム   »   マクロ

「再表示不可」で存在を隠蔽する不正Excel 4.0 マクロの手口を解析

  • 投稿日:2020年5月8日
  • 脅威カテゴリ:不正プログラム, スパムメール
  • 執筆:Trend Micro
0

トレンドマイクロのリサーチャーは、不正なMicrosoft Excel 4.0マクロを含むシートを「VeryHidden」形式で非表示設定し、隠蔽する手口を確認、その詳細解析を行いました。Microsoftのドキュメントに記載されている通り、VBAマクロを使用してブック内のシートが非表示にされている場合、Microsoft Excelの一般機能からはシートを操作することができません。この不正マクロを含む不審なファイルは、スパムメールの添付ファイルとして使用されていました。 (さらに…)

続きを読む
Tags: マクロMicrosoft Excel

引き続き国内で拡大する「EMOTET」の脅威

  • 投稿日:2020年1月27日
  • 脅威カテゴリ:スパムメール, 速報, 攻撃手法
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

2019年11月の本ブログ記事でお伝えしたマルウェア「EMOTET(エモテット)」の国内での感染拡大ですが、その後もさらに激化が続いています。トレンドマイクロのクラウド型次世代セキュリティ技術基盤「Smart Protection Network(SPN)」の統計によれば、EMOTETの検出台数は2019年11月に入りいったん落ち着いたかのように見えましたが、12月にはまた8,000件を越える急増となりました。

図1:国内でのEMOTET検出台数推移(不正Office文書ファイル含む)
図1:国内でのEMOTET検出台数推移
(不正Office文書ファイル含む)

トレンドマイクロの監視では、感染したEMOTETに対して指令を送る遠隔操作用サーバ(C&Cサーバ)は、12月20日前後からいったん休止し、2020年に入って1月13日から活動再開したことがわかっています。しかしEMOTET検出台数は1月中旬までの速報値で既に1,500件を越えており、活動再開後わずかの期間にも関わらず高い数値となっています。このことからは、国内利用者を狙うEMOTETの攻撃は高いレベルで継続していると言え、注意が必要です。

(さらに…)

続きを読む
Tags: マクロスパムメールC&CサーバEMOTET

正規ソフト「AutoHotkey」を悪用した攻撃を確認

  • 投稿日:2019年4月4日
  • 脅威カテゴリ:サイバー攻撃
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

トレンドマイクロでは、正規のWindows向けソフトウェアである「AutoHotkey」や「Team Viewer」 を悪用した攻撃を新たに確認しましたので、本稿でご報告します。

2019年4月2日、無料オンラインスキャンサービスである「VirusTotal」に「Military Financing.xlsm」というファイル名のマクロ形式のエクセルファイルがアップロードされました。当該ファイルは内部に正規のスクリプトエンジンAutoHotkey、および、それに読み込ませるための不正なスクリプトファイルをバイナリ形式でデータを内包し、マクロを実行するとそれらをドロップして実行します。攻撃者は検出回避を目的としてAutoHotkeyを利用していたと考えられます。当該スクリプトファイルの実行によりC&Cサーバと通信が実施され、さらなるスクリプトファイルのダウンロード・実行や、Team Viewerを用いた遠隔操作が確認されました。

図

図:「Military Financing.xlsm」を発端とする攻撃の概要図

(さらに…)

続きを読む
Tags: AutoHotKeyマクロ

検出回避を狙いExcel 4.0マクロを利用する攻撃を国内初確認

  • 投稿日:2019年2月28日
  • 脅威カテゴリ:スパムメール, 攻撃手法
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、2月18日以降、Excel 4.0マクロ(XLM)を使用したメール経由のマルウェア拡散を確認しています。これは古いマクロ形式を使用することでセキュリティ対策製品からの検出回避を狙う手法であり、日本の利用者への攻撃としては初めて確認したものです。

(さらに…)

続きを読む
Tags: マルウェアスパムマクロ

「COBALT」再来:マクロか脆弱性を利用する2通りの標的型メール攻撃、ロシアの金融機関も対象

  • 投稿日:2017年12月1日
  • 脅威カテゴリ:サイバー攻撃, 脆弱性
  • 執筆:Trend Micro
0

「COBALT」再来:マクロか脆弱性を利用する2通りの標的型メール攻撃、ロシアの金融機関も対象

トレンドマイクロは、ロシア語を使う企業を狙いバックドア型マルウェアを送り込む標的型メールの送信活動を 2017年6月から7月にかけて確認し、報告しました。そして今回、その攻撃は、実際には大きな攻撃キャンペーンの序盤であったことが判明しました。攻撃者は、利用されている技術から、ハッカー集団「COBALT(コバルト)」であると考えられています。最近の COBALT による標的型メールには、マクロを利用したものと脆弱性を利用したもの、2つの手法が確認されています。さらに、ソーシャルエンジニアリングによって、Eメールを受信した銀行員が緊急感を持つように細工されていました。

(さらに…)

続きを読む
Tags: マクロスピアフィッシングCOBALT脆弱性標的型メール

「URSNIF」の新手法:マクロを利用してサンドボックス検出を回避

  • 投稿日:2017年11月20日
  • 脅威カテゴリ:メール, TrendLabs Report, 感染媒体
  • 執筆:Trend Micro
0

「URSNIF」の新手法:マクロを利用してサンドボックス検出を回避不正なマクロは、マルウェア拡散に広く利用されています。通常、スパムメール経由で送信されたファイルのマクロがユーザによって有効にされると、次に PowerShellスクリプトを実行し、ランサムウェアやその他のマルウェアがダウンロードされることになります。

トレンドマイクロは、2017年9月にも、古くからあるオンライン銀行詐欺ツール「EMOTET(エモテット)」がそのような不正なマクロを利用した手法で金融機関以外の業界や新しい地域へと対象を拡大する活動について報告しました。

図1
不正なマクロと PowerShell を利用する「EMOTET」の感染フロー

(さらに…)

続きを読む
Tags: マクロバンキングトロジャンオンライン銀行詐欺ツールサンドボックス回避URSNIF

オンライン銀行詐欺ツール「DRIDEX」、文書ファイルに埋め込まれた不正なマクロ経由で感染

  • 投稿日:2014年11月6日
  • 脅威カテゴリ:不正プログラム, スパムメール, サイバー犯罪, TrendLabs Report
  • 執筆:Threat Response Engineer - Rhena Inocencio
0

トレンドマイクロでは、2014年10月、より広範囲のユーザを対象とし、検出を回避する新しい手法を備えたオンライン銀行詐欺ツールを確認しました。「DRIDEX」として知られるこの不正プログラムは、オンライン銀行詐欺ツール「CRIDEX」の後継と言われています。

(さらに…)

続きを読む
Tags: マクロオンライン銀行詐欺ツールスパムメール情報収集


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.