ransamu
 手法が多様化している「マルウェア」ですが、今度はマウスカーソルをホバリングするだけで感染させるマルウェアの手法が発見されたようです。


 「ホバリング」とはマウスカーソルを上にのせることを言います。つまり、「クリック」しなくても感染してしまうという恐ろしい手法です。

PPTIMG

 「naked security」の情報によると、このマルウェアはスパムメールで配信されており、「Purchase 」「Order #954288」「Confirmation」といった単語が件名に含まれており、添付ファイルには「order.ppsx」「invoice.ppsx」「order&prsn.ppsx」といったようなパワーポイントのファイルが添付されています。
 今回のマルウェアは通常のOfficeを使用したマルウェアとは違い、マクロは使用していないためアンチウイルスソフトは反応しません。
WAIT01

 添付されているパワーポイントのファイルを開くと、「Loading...Please wait」といった画面が出てきて、この時点でマウスをホバリングするとマルウェアに感染するようです。
 この画面時にこの「Loading...Please wait」の部分にマウスカーソルを当てると、PowerShellコマンドが実行されます。この時にマルウェアをダウンロードさせるスクリプトファイルがバックグラウンドで一時フォルダに保存され、実行します。
 一時フォルダに保存されたスクリプトファイルは既知のプロセスのチェックや長時間スリープができるように、マルウェアが自動解析機能の検知を行いマルウェアの挙動を報告するエンジンを回避することができます。そのため、通常のマルウェアとは違い、発見しにくいのが特徴となります。
 このマルウェアを回避する唯一の方法として、身に覚えのないメールは開かないこと、また、添付ファイルのプレビューを行わないことだと「naked security」では記しています。十分に気を付けてください。