悪用難しいと思われた「Office脆弱性」、公表2週間でマルウェアに - Visa偽装メールで拡散

今回確認されたケースでは、Visaが提供する電子マネーの「Visa payWave」に関連したメールを偽装。ロシア語で記載されており、脆弱性を悪用するRTFファイルを添付していた。

サンドボックスなどの検出を避けるため、ファイルにはパスワードを設定。受信者へ本文中に記載したパスワードを利用して開くよう求める。

マルウェアと気が付かずに誤って開くと文書が開かれると同時に、バックグラウンドでPowerShellスクリプトが動作。「Cobalt Strike」のクライアントがメモリ上で直接実行させられるという。

「CVE-2017-11882」は、公表当初、「脆弱性が悪用される可能性は低い」とレーティングされており、攻撃に利用される見込みは低いと見られたが、公開から2週間ほどで、悪用するマルウェアが登場したことになる。

攻撃の発生を受け、情報処理推進機構（IPA）も脆弱性について注意喚起を実施。修正プログラムを適用していない場合は、早急にアップデートするよう呼びかけている。

お詫びと訂正：本記事初出時の記載において、「Cobalt」の説明について誤りがあり一部削除しました。ご迷惑をおかけした読者、関係者のみなさまにお詫びし、訂正いたします。

（Security NEXT - 2017/11/29 ）ツイート