【セキュリティ】「VirusTotal」の検出率0% ~オープンドキュメント形式(ODF)のマルウェアが確認される [香味焙煎★]
■ このスレッドは過去ログ倉庫に格納されています
メールの添付ファイルを通じたマルウェア感染では、「Microsoft Office」ドキュメントやPDFドキュメントが用いられるのが一般的だ。しかし、なかにはその裏をかいてくるものもある。米HPのセキュリティ部門HP Threat Researchは7月15日(現地時間)、オープンドキュメント形式ファイルのマルウェアがラテンアメリカのホテル業界を標的にしているとして注意を喚起している。
オープンドキュメント形式(Open Document Format:ODF)は、特定のベンダーに依存しないISO標準のファイル形式。「LibreOffice」や「Apache OpenOffice」などでサポートされており、最近では「Microsoft Office」も最新の「ODF 1.3」をサポートしている。
今回、確認されたマルウェアはテキスト文書(ODT)の体裁をとっており、開くと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが現れる。その意味がわからないユーザーが安易に[はい]ボタンを押してしまうと「Excel」が開き、今度はマクロを有効にするかを問うダイアログが現れる。マクロを有効にすると、感染チェーンがトリガーされ、最終的に「AsyncRAT」と呼ばれるマルウェアペイロード(そのファイルで運ばれているマルウェアの実体)が実行される。
HPによると、ODF形式でマルウェアが配布されるのは珍しく、そのためか7月7日時点における「VirusTotal」の検出率は0%だったという。このODTファイルそのものにはマクロが含まれておらず、「styles.xml」からリモートでホストされているOLEオブジェクトを呼び出す仕組みになっていることも、マルウェアとして検出されない一因かもしれない。
ともあれ、「ODF形式であればマルウェアではない」との思い込みがあるのならば非常に危険だ。今回のマルウェアはローカルに「Microsoft Office」がインストールされていなければ感染しないようだが、最近日本で再び猛威を振るっている「Emotet」にも「Microsoft Office」がなくても感染する亜種が確認されている。外部からファイルを受け取った場合は、どんなファイルタイプであれ、慎重に扱うべきだろう。
Impress
2022年7月21日 09:00
https://forest.watch.impress.co.jp/docs/news/1426340.html テキスト文書(ODT)の体裁をとっている
↓
開くと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが現れる
↓
[はい]ボタンを押すと「Excel」が開く
↓
今度はマクロを有効にするかを問うダイアログが現れる。
↓
[はい]ボタンを押しマクロを有効にする
↓
感染 セキュリティ危機感皆無な奴を標的にしてるのか
良い奴じゃんw Odtなんて見慣れないファイルをクリックしないだろ
まだexcelの方が間違ってクリックして感染するわ >>6
ちょっと偽装して許可押しそうな文言入れたら結構簡単に通ってしまうだろうけどね。
賞金プレゼントキャンペーンどんどんぱふぱふ!
インターネット上でくじを引きます!はいを押してExcel開いてねw
あ、マクロも使いますw
→うえーいwww
チョロいと思うぞ?w
こういうのに乗っちゃうのもどうかとは思うがwww Microsoft Office入れてないからセーフ >>11
実際にそんな場面に遭遇したら吹く自信があるwww >>5
もうこれでひっかかる人は
途中に「ウイルス感染しますがよろしいですか?」ってメッセージ入っていても「はい」をクリックしそうに思うわw ファイル落としちゃうはまぁわからんくもない
なんでマクロとか有効にしちゃうんだろうね
中身良くわからんのに 厚労省が医療機関向けのファイルにマクロ使いまくりのエクセルファイル使っていたりする 便利な機能を付けると悪用される。これは当然。
医者が、患者が弱ってるので栄養剤を処方すると、
癌細胞が栄養を貰って元気いっぱい増殖・転移
しまくる、とかと同じかも。 ウチの会社もそうだわ
他のやり方がいくらでもあるどうでもいいやつを
マクロ形式のエクセルにしてたりな
馬鹿なんだなって思う >>5
必要そうなときは有効にしちゃうからこれは引っ掛かるね 職場に100人いたら1人は引っかかりそう
そうなると100人の脅威だわ >>5
excelが開くとかマクロの確認とかということはexcelが必要で
openoffice.orgやlibre officeだけインストールしてる環境では感染しない?
面倒くさいマルウェアだな( ;´・ω・`) UACやらディフェンダーあっても効果ないなら削除すっかな 何ソレやばいと思ったらOLEでエクセル呼び出して何時ものマクロ経由の感染なんだね
考え無しクリックする輩がいてもマクロをデフォで無効にしてれば一応平気か 読んだら結局マクロやんけ
20年くらい前にも流行ったよなマクロウイルス
一時期は世の中一斉に「マクロ禁止の流れ」になったっけなぁ 文書ファイルに実行可能な命令が埋め込めるという所が根本的に間違ってる。Javascriptとか当たり前のように使われるようになったから、そのあたりの感覚が麻痺してるんだよな。 義務教育の学生時代にクラスに一人くらいいたアホの子レベルなら引っかかる
詐欺と同じで百人千人に一人でも引っかかれば任務を遂行できる 分かっちゃいるけど、もらったファイルはとりあえず開きたくなるのが人間の性ってやつだろう LibreOffice CalcはExcelとの互換性が完璧でなくて、xlsファイル開くと色々と表示がおかしい部分が出てくる
Excelでもodf形式がサポートされた事から、xlsでなくodf形式でセーブすべきという声もあるが、そこに来てこのマルウェアの発見か ■ このスレッドは過去ログ倉庫に格納されています