海賊版Microsoft Officeから複数のマルウェア、削除しても自動で復活
マイナビニュース / 2024年6月1日 9時32分
AhnLabは5月30日、「Distribution of Malware Under the Guise of MS Office Cracked Versions (XMRig, OrcusRAT, etc.) - ASEC BLOG」において、海賊版Microsoft Officeを介して複数のマルウェアが配布されているとして、注意を喚起した。この海賊版Microsoft Officeはファイル共有サービスやtorrentから配布されたとみられている。
○侵害経路
AhnLabが確認した悪意のある海賊版Microsoft Officeは、インストールを開始するとバックグラウンドで難読化された.NETプログラムを実行する。この.NETプログラムはTelegramからペイロードのダウンロードURLを取得し、指定されたGoogleドライブまたはGitHubから暗号化されたPowerShellスクリプトをダウンロードして実行する。
PowerShellスクリプトは7ZIPで圧縮されたマルウェアローダー「software_reporter_tool.exe」をダウンロード、展開、実行する。このマルウェアローダーにはマルウェアのダウンロードの他に永続性を確保する機能があり、ローダーの更新機能などを持つPowerShellスクリプトをタスクに登録する。
AhnLabによると、最終的にインストールされるマルウェアは遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)の「Orcus RAT」、マイニングマルウェア「XMRig」、プロキシサーバー「3Proxy」、マルウェアローダー「PureCrypter」、セキュリティ妨害マルウェア「AntiAV」などとされる。
○影響と対策
この攻撃ではマルウェアの検出を回避するために毎週新しいマルウェアが配布されており、永続化タスクが存在する場合、マルウェアは自動的に更新されるという。そのため、マルウェアを検出して削除しても定期的にマルウェアが復活するとみられる。
AhnLabはこのような攻撃を回避するため、海賊版ソフトウェアを使用しないことを推奨している。なお、すでに感染が疑われる場合は不審なタスクが存在しないことを確認し、不審なタスクがあったらマルウェアと共に削除する必要がある。
(後藤大地)
外部リンク
この記事に関連するニュース
-
人材紹介会社を装いマルウェアを配布するサイバー攻撃に注意
マイナビニュース / 2024年6月18日 11時31分
-
Excelを悪用してマルウェアを展開するウクライナを狙うサイバー攻撃特定
マイナビニュース / 2024年6月7日 10時25分
-
exeファイルをExcelファイルに見せかけてマルウェアを展開するサイバー攻撃に注意
マイナビニュース / 2024年5月31日 13時12分
-
EDRを削除して暗号資産マイナーを展開するサイバー攻撃に注意
マイナビニュース / 2024年5月28日 8時34分
-
マルウェアローダー「LATRODECTUS」が増えている、メールに注意
マイナビニュース / 2024年5月22日 9時16分
ランキング
-
1これが1900円台!? しまむらのスタイリッシュなガジェット類が破格すぎる 「スピーカー安っ!!」「ヘッドフォン可愛い」
ねとらぼ / 2024年6月18日 7時30分
-
2新型コロナ肺炎で療養中の「にじさんじ」アンジュが近況報告―症状はひたすら悪化、7月初旬まで入院することに
インサイド / 2024年6月18日 10時20分
-
3Googleマップ「タイムライン」ウェブ版廃止 訪問履歴と経路を保持する方法
ASCII.jp / 2024年6月18日 10時0分
-
4Xiaomiが最大成長、Huaweiの復活も カウンターポイントの世界スマホ市場調査
ITmedia Mobile / 2024年6月17日 19時22分
-
5太古の生物が洋食に!? 絵本作家の母が作った再現メニューに「お母様凄すぎです!」「お店開けますね」
ねとらぼ / 2024年6月18日 17時0分
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/mission_close_icon.png)
記事ミッション中・・・
記事にリアクションする
![](/pc/img/mission/point-loading.png)
エラーが発生しました
ページを再読み込みして
ください
![](/pc/img/mission/mission_close_icon.png)