サイバー攻撃者は常に新しい手法を模索しています。
今回発見されたのは「PowerPoint」に利用されるハイパーリンクです。
マウスオーバーだけでもマルウェアに感染する
「PowerPoint」のスライド上に表示されたハイパーリンクの上にマウスポインタを移動(ホバー)させるだけで、マルウェアがダウンロードされるという。
この場合、今までのような、怪しいリンクはクリックしないということが通用しません。
文書内のハイパーリンクが設定されたテキスト上にマウスを移動するだけで、「PowerShell」コマンドが実行され、悪意のあるドメインからマルウェアがダウンロードされるようになっているため
感染までの流れ
スパムメールの形態で、そのメールの件名や、添付されているファイル名は請求書や注文書となっている。
添付ファイルはPPSX形式になっており、ファイルを開くと編集画面を飛ばしてスライドショーが立ち上がる。
スライド中に、「Loading… Please wait」(ローディング中です…お待ちください)というハイパーリンクのテキストを表示しマウスポインタをこのリンクの上にホバーさせるだけで、自動的にマルウェアのダウンロードが開始される。
ただ、「Protected View」(保護されたビュー)機能が有効化されている場合は、ダウンロードを抑止したというセキュリティメッセージが表示されるようになっている。
「Office 2010」や「Office 2013」の場合はデフォルトでこの機能が有効になっています。
どのようなマルウェアなのか
PowerPointファイルは、「Gootkit」や「OTLARD」と呼ばれ、ネットバンキングを標的としたトロイの木馬をダウンロードする。
SentinelOneは、今回発見された亜種を「Zusy」と命名しています。
ここまでくると、添付ファイルを開くのが怖くなります。
