X
【セキュリティ】「VirusTotal」の検出率0% ~オープンドキュメント形式(ODF)のマルウェアが確認される [香味焙煎★]
■ このスレッドは過去ログ倉庫に格納されています
0001香味焙煎 ★
垢版 |
2022/07/21(木) 09:09:09.94ID:Uf/rG/lI9
メールの添付ファイルを通じたマルウェア感染では、「Microsoft Office」ドキュメントやPDFドキュメントが用いられるのが一般的だ。しかし、なかにはその裏をかいてくるものもある。米HPのセキュリティ部門HP Threat Researchは7月15日(現地時間)、オープンドキュメント形式ファイルのマルウェアがラテンアメリカのホテル業界を標的にしているとして注意を喚起している。

オープンドキュメント形式(Open Document Format:ODF)は、特定のベンダーに依存しないISO標準のファイル形式。「LibreOffice」や「Apache OpenOffice」などでサポートされており、最近では「Microsoft Office」も最新の「ODF 1.3」をサポートしている。

今回、確認されたマルウェアはテキスト文書(ODT)の体裁をとっており、開くと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが現れる。その意味がわからないユーザーが安易に[はい]ボタンを押してしまうと「Excel」が開き、今度はマクロを有効にするかを問うダイアログが現れる。マクロを有効にすると、感染チェーンがトリガーされ、最終的に「AsyncRAT」と呼ばれるマルウェアペイロード(そのファイルで運ばれているマルウェアの実体)が実行される。

HPによると、ODF形式でマルウェアが配布されるのは珍しく、そのためか7月7日時点における「VirusTotal」の検出率は0%だったという。このODTファイルそのものにはマクロが含まれておらず、「styles.xml」からリモートでホストされているOLEオブジェクトを呼び出す仕組みになっていることも、マルウェアとして検出されない一因かもしれない。

ともあれ、「ODF形式であればマルウェアではない」との思い込みがあるのならば非常に危険だ。今回のマルウェアはローカルに「Microsoft Office」がインストールされていなければ感染しないようだが、最近日本で再び猛威を振るっている「Emotet」にも「Microsoft Office」がなくても感染する亜種が確認されている。外部からファイルを受け取った場合は、どんなファイルタイプであれ、慎重に扱うべきだろう。

Impress
2022年7月21日 09:00
https://forest.watch.impress.co.jp/docs/news/1426340.html
0004ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 09:15:23.93ID:d+lvem/h0
メールとかなくせばよいのに
0005ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 09:16:45.06ID:U7hIcY2i0
テキスト文書(ODT)の体裁をとっている

開くと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが現れる

[はい]ボタンを押すと「Excel」が開く

今度はマクロを有効にするかを問うダイアログが現れる。

[はい]ボタンを押しマクロを有効にする

感染
0006ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 09:18:47.85ID:nz4flPsR0
セキュリティ危機感皆無な奴を標的にしてるのか

良い奴じゃんw
0008ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 09:20:09.68ID:85FubOrJ0
Odtなんて見慣れないファイルをクリックしないだろ
まだexcelの方が間違ってクリックして感染するわ
0011ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 09:22:11.59ID:WHZRLqQO0
>>6
ちょっと偽装して許可押しそうな文言入れたら結構簡単に通ってしまうだろうけどね。

賞金プレゼントキャンペーンどんどんぱふぱふ!
インターネット上でくじを引きます!はいを押してExcel開いてねw
あ、マクロも使いますw

→うえーいwww


チョロいと思うぞ?w
こういうのに乗っちゃうのもどうかとは思うがwww
0016ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 10:12:31.02ID:yeqHQ4OF0
>>5
もうこれでひっかかる人は
途中に「ウイルス感染しますがよろしいですか?」ってメッセージ入っていても「はい」をクリックしそうに思うわw
0017ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 10:18:59.05ID:5PIvQ80Y0
ファイル落としちゃうはまぁわからんくもない
なんでマクロとか有効にしちゃうんだろうね
中身良くわからんのに
0019ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 10:49:47.05ID:cVDUrFWM0
便利な機能を付けると悪用される。これは当然。
医者が、患者が弱ってるので栄養剤を処方すると、
癌細胞が栄養を貰って元気いっぱい増殖・転移
しまくる、とかと同じかも。
0020ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 10:52:18.66ID:1JO41LgH0
ウチの会社もそうだわ
他のやり方がいくらでもあるどうでもいいやつを
マクロ形式のエクセルにしてたりな
馬鹿なんだなって思う
0024ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 13:05:50.06ID:2tgKcXVL0
>>5
excelが開くとかマクロの確認とかということはexcelが必要で
openoffice.orgやlibre officeだけインストールしてる環境では感染しない?
面倒くさいマルウェアだな( ;´・ω・`)
0026ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 20:07:34.52ID:MXj4mSm70
何ソレやばいと思ったらOLEでエクセル呼び出して何時ものマクロ経由の感染なんだね
考え無しクリックする輩がいてもマクロをデフォで無効にしてれば一応平気か
0027ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 20:56:15.40ID:mdKPMfUy0
読んだら結局マクロやんけ
20年くらい前にも流行ったよなマクロウイルス
一時期は世の中一斉に「マクロ禁止の流れ」になったっけなぁ
0028ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 22:53:59.15ID:ESfD6NrI0
文書ファイルに実行可能な命令が埋め込めるという所が根本的に間違ってる。Javascriptとか当たり前のように使われるようになったから、そのあたりの感覚が麻痺してるんだよな。
0029ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 23:00:48.06ID:RBWYagjI0
義務教育の学生時代にクラスに一人くらいいたアホの子レベルなら引っかかる
詐欺と同じで百人千人に一人でも引っかかれば任務を遂行できる
0030ニューノーマルの名無しさん
垢版 |
2022/07/21(木) 23:05:54.37ID:42qGS1MQ0
分かっちゃいるけど、もらったファイルはとりあえず開きたくなるのが人間の性ってやつだろう
0031ニューノーマルの名無しさん
垢版 |
2022/07/23(土) 20:28:11.89ID:f9eQtV8s0
LibreOffice CalcはExcelとの互換性が完璧でなくて、xlsファイル開くと色々と表示がおかしい部分が出てくる
Excelでもodf形式がサポートされた事から、xlsでなくodf形式でセーブすべきという声もあるが、そこに来てこのマルウェアの発見か
0033ニューノーマルの名無しさん
垢版 |
2022/07/25(月) 20:08:03.78ID:65SOlXuE0
>>31
ゲイツが作ったのか
■ このスレッドは過去ログ倉庫に格納されています
ニューススポーツなんでも実況