悪用難しいと思われた「Office脆弱性」、公表2週間でマルウェアに - Visa偽装メールで拡散

今回確認されたケースでは、Visaが提供する電子マネーの「Visa payWave」に関連したメールを偽装。ロシア語で記載されており、脆弱性を悪用するRTFファイルを添付していた。

サンドボックスなどの検出を避けるため、ファイルにはパスワードを設定。受信者へ本文中に記載したパスワードを利用して開くよう求める。

マルウェアと気が付かずに誤って開くと文書が開かれると同時に、バックグラウンドでPowerShellスクリプトが動作。「Cobalt Strike」のクライアントがメモリ上で直接実行させられるという。

「CVE-2017-11882」は、公表当初、「脆弱性が悪用される可能性は低い」とレーティングされており、攻撃に利用される見込みは低いと見られたが、公開から2週間ほどで、悪用するマルウェアが登場したことになる。

攻撃の発生を受け、情報処理推進機構（IPA）も脆弱性について注意喚起を実施。修正プログラムを適用していない場合は、早急にアップデートするよう呼びかけている。

（Security NEXT - 2017/11/29 ） ツイート

PR

関連記事

VPN経由で侵入、複数サーバがランサム被害 - 中央学院大
医療機器保守用VPN経由でランサム攻撃、DB窃取 - 日医大武蔵小杉病院
海外通販サイトに不正アクセス、会員情報流出の可能性 - BEENOS子会社
フィッシング契機に端末不正操作、個人情報流出を確認 - 共立メンテナンス
クラウドに不正アクセス、個人情報流出の可能性 - マイナビ
Cisco製品のゼロデイ脆弱性、国内スパム対策サービスで不正アクセス被害
アスクル子会社の受託物流サービス、取引先情報流出の可能性
従業員個人PCがマルウェア感染、業務用認証情報が流出 - QUICK
マルウェアがSlack認証情報を窃取、個人情報や履歴が流出か - 日経
すかいらーく「テイクアウトサイト」 - クレカ情報流出の可能性