新しいフィッシング攻撃がPowerPointファイルを悪用してマルウェアを拡散する

攻撃者は、標的システムに侵入してマルウェアを拡散させるさらに別の方法を考え出しました。セキュリティ研究者によって追跡されている新しいキャンペーンでは、悪意のある人物が、あまり知られていないPowerPointファイル形式を使用してマルウェアを拡散し、被害者のシステムを乗っ取っています。

マルウェアのラップに使用されるあまり知られていないファイルタイプ

攻撃は、セキュリティ会社のCheck PointSoftwareの一部である会社によって追跡されています。この新しいキャンペーンでは、攻撃者はMicrosoft PowerPointが動作して開く拡張機能のグループに属するファイル形式を使用しますが、あまり使用されません。

攻撃では、PowerPointプレゼンテーション用のアドインファイル形式である.ppamファイルが使用されます。ファイルタイプには、他のPowerPointファイルタイプにはない追加のコマンドとマクロが含まれています。

研究者は2022年1月からPowerPointファイルの攻撃を追跡しています。悪意のある人物は、システムを乗っ取るために使用される実行可能ファイルをラップするために.ppamファイルを使用しています。ファイルは、偽の発注書に関連するテキストと被害者に請求書で応答するように要求するフィッシングメールを使用して拡散されています。

.ppamファイル内にラップされた悪意のある実行可能ファイルには、Windowsレジストリ値を書き込み、被害者のシステムのメモリを監視しながら永続性を実現する機能があります。あまり知られていないファイルタイプは、.ppamファイル内に含まれるペイロードがターゲットシステムのセキュリティ対策をかわすことができることを意味します。

.PPAMファイルはランサムウェアを配信する可能性があります

セキュリティ研究者は、あまり使用されないファイルタイプがもたらす危険性について概説しました。悪意のあるペイロードを、通常は自動化されたセキュリティ対策によってスキャンされないファイル内にラップすることにより、悪意のある攻撃者は、ランサムウェアを含む、必要な実行可能ペイロードを配信できます。実際、現在のキャンペーンを追跡している研究者は、2021年10月にランサムウェア攻撃で.ppamファイルが使用されたと述べています。

サンドボックス対策を改善し、ターゲットシステムで開く前にサンドボックスを介してすべてのダウンロードをフィルタリングする以外に、研究者は、会社のスタッフが初めて見慣れないファイル拡張子に遭遇した場合は常にITスペシャリストに連絡することをお勧めします。