Microsoft Word文書に埋め込まれたマクロの自動実行を利用するというWindowsの原始的な手法を悪用した、新しいタイプのMacマルウェア攻撃が最近発見されました。Objective-Seeがまとめた調査で最初に指摘されたように、この手法は粗雑かもしれませんが、何も知らないユーザーが感染したWord文書を開き、マクロの実行を選択すると、マルウェアは標的のMacに密かにインストールされ、直ちに危険なペイロードのダウンロードを試みます。
この攻撃は、「米国の同盟国とライバル国がトランプ大統領の勝利を総括 - カーネギー国際平和財団」というタイトルのWordファイルで最初に発見された。
Word for Mac で感染した文書を開き、ダイアログで[マクロを有効にする]をクリックすると、埋め込まれたマクロによって次の処理が実行されます。
- LittleSnitch セキュリティ ファイアウォールが実行されていないことを確認します。
- 暗号化された第 2 段階のペイロードをダウンロードします。
- ハードコードされたキーを使用してペイロードを復号化します。
- ペイロードを実行します。
インストールされると、このペイロードはキー入力の記録、カメラとシステムクリップボードの監視、スクリーンショットの撮影、iMessageへのアクセス、閲覧履歴の取得などを行う可能性があります。また、再起動後に自動的に実行されます。
幸いなことに、リモート ペイロード ファイルはサーバーから削除されました。
危険ではありますが、これは特に高度な攻撃方法ではありません。
疑わしいWord文書を開く際に「マクロを無効にする」をクリックすることで、こうした攻撃から身を守ることができます 。Windowsではマクロベースのマルウェアが蔓延していることを考えると、MicrosoftがWordのダイアログにウイルスに関する明確な警告を表示したのも不思議ではありません。
出典: Objective-See、Ars Technica経由
