Emotetの攻撃手法「Excel4.0マクロ」が多用されるのはなぜ?
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」4月4日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・Emotet感染ファイルを添付したZIPファイル、開けたらどうなる?
・現在あまり使われない「Excel4.0マクロ」が攻撃に使われる理由
今回の解説ニュース
マルウェアEmotetが、かつてのパターンから変化していることについて公開されています。引き続き猛威を振るっているEmotetの動向や、最新のEmotetに有効な対策について説明します。
今回のレポートでは、Emotetの攻撃メールを分析し、メール拡散に使用されるファイルのパターンを抽出、最新のEmotetの攻撃パターンについて紹介されています。2022年3月中旬におけるEmotetの拡散活動は「xlsm」ファイルが添付されているパターンと、xlsmを格納した「パスワードzip」ファイルが添付されているパターンの2種類のみとなっています。
また、従来のEmotetでは、VBAマクロ実行後にPowerShellを呼び出して感染させる手法が多く用いられていましたが、2022年3月時点では、現在ではあまり使われない「Excel4.0マクロ」を悪用した攻撃が多く存在しているということです。
Emotet感染ファイルを添付したZIPファイル、開けたらどうなる?
Emotetのファイルを添付したパスワード付きZIPファイルを開いてから、感染に至るまでのプロセスを、最新の攻撃パターンも踏まえながら説明します。
Emotetには、メールに記載されたURLからダウンロードされるパターンと、メールに添付されるパターンが確認されています。どちらも、マクロ付きのWordまたはExcelファイルですが、2022年3月中旬から見られるメールに添付されるEmotetは、拡張子が「xlsm」のEmotetが直接添付されているか、パスワード付きZIPで圧縮されて添付されているかの2種類になっているということです。
いずれのEmotetもファイルを開いてコンテンツを有効化した場合、非表示のシートにばらばらに記述された文字を使って組み立てられたコードでマクロが実行されることにより、Emotetへ感染します。最新のEmotetでは、PowerShellが使われていないことから、かつての暫定対策が無効になってしまう可能性があります。
その他のトピック
現在あまり使われない「Excel4.0マクロ」が攻撃に使われる理由
(全文はこちら)