トレンドマイクロは4月30日、スパムメール経由で拡散するMicrosoft Wordのマクロを利用した不正プログラム「BARTALEX」が急増し、企業を攻撃対象としているとセキュリティブログで明かした。
同社は、スパムメールが「自動決済機関(AutomatedClearingHouse、ACH)」の詐欺に関連していたことを確認。ACHとは、米国内で電子資金取引に使用される電子決済システムで、企業間の取り引きに利用されている。
スパムメールは、受信者をDropboxへと誘導し、そこからWordファイルが保存させる。さらに受信者がマクロを有効にすると、Wordファイルがオンライン銀行詐欺ツール「TSPY_DYRE.YUYCC」をダウンロードさせる。
なお、「TSPY_DYRE.YUYCC」は「DYRE」の亜種で、DYRE自体は「J.P.Morgan」「U.S.Bank」「CaliforniaBank&Trust」「TexasCapitalBank」といった米国内の銀行や金融機関を攻撃対象にしていることで知られている。
スパムメールの本文には「Viewfulldetails」というリンクが記載されている。Dropboxのページを開くと、Microsoft Officeの警告文が表示され、マクロ機能を有効にするよう促してくる。
BARTALEXの被害は米国が最も多く、次いでカナダ、オーストラリアとなる。また、古いバージョンである「Microsoft Office 2010」のロゴが利用されていたことも確認したという。
Dropboxなどのクラウドサービスが悪用される
今回の手口ではDropboxが悪用されていたが、ほかにもケースがある。Dropboxやその他のクラウドベースのサービスは、不正プログラムやサイバー犯罪者のコマンド&コントロール(C&C)サーバのホストに利用されることもある。
マクロを利用した不正プログラムをホストする目的の悪用が確認されたのは今回が初めてで、マクロの利用は古い手口であるにも関わらず、この不正プログラムが現在も急激に増え続けているという。
マクロを利用する不正プログラムはこれまでになく大きな注目を集め、古い手口の脅威が現在も効果的な感染経路であることを印象付けた。また、Dropboxといった正規サービスにホストされ、急増したスパムメールに利用されるなど、さらなる適応も見られ、マクロを利用する不正プログラムは、今後さらに多くの企業を脅かす可能性があるという。
なお、最新の調査では「BARTALEX」および「DYRE」の改良版を確認したという。どちらも実行されるとMicrosoft Outlookを乗っ取り、「UPATRE」を拡散する。「UPATRE」により、情報窃取型不正プログラム「ZBOT」や「身代金要求型不正プログラム(ランサムウェア)」がダウンロードさせることもできる。