PowerPointファイル上のURLにマウスオーバーするとマルウェアに感染、新たな攻撃の予行演習か

　スライドショー形式のPowerPointファイル上に設定されたURLリンクにマウスオーバーするだけで、マルウェアに感染する攻撃について、Trend Microなどが注意を促している。

　この攻撃では、メールに添付されたスライドショー形式の.pps/.ppsxファイルに設定されたハイパーリンクのmouseoverアクションに、オンラインバンキング情報を窃取するマルウェア「OTLARD（別名：Gootkit）」をPowerShellでダウンロードしてインストールさせる処理が設定されており、処理自体はバックグラウンドで行われ、その最中には「Loading... Please wait」と表示されるという。

スパムメールの例。件名は「purchase orders」

　ただし、Office 2010以降では、インターネットからダウンロードしたファイルは、既定では「保護ビュー」で表示される。このため、このファイルを開いてハイパーリンクにマウスを重ねると、セキュリティ警告のメッセージが表示される。ここで「Enable（有効）」を選べば、そのままPowerShellで処理が実行され、マルウェアがインストールされてしまう。

「保護ビュー」ではセキュリティ警告のメッセージが表示される

.pps/.ppsxファイルに埋め込まれたペイロード

　Trend Microによれば、このメールによる攻撃は、特に英国、ポーランド、オランダ、スウェーデンで観測され、5月25日には1444件が検出された。しかし、26日には782件に減少、続く29日には攻撃がほぼ収束したという。これについてTrend Microでは、技術の見せかけの目新しさを考えると、今後の攻撃のための予行演習として解釈できるとしている。

　さらに、サイバー犯罪者はウェブサイトを乗っ取り、C&Cサーバーとの通信インフラとして使用し、こうしたスパムメールを送信しているとしている。