今回マルウェアを拡散させているのは、地下フォーラムで販売されているもので、スパムメールを利用し、マルウェアを感染させるという手法です。

　このマルウェアを含んだスパムメールは悪意のある文書形式（.doc形式）が入った圧縮（ZIP)ファイルが添付され、ユーザーにこの圧縮ファイルを解凍するように勧めるメールの文章となっています。

　このメールは通信事業や保険。金融関係を装ったメールの内容で、この添付ファイルを解凍し、悪意のある文章形式のファイルをクリックすると、PowerShellベースのペイロードが走り出し、マルウェアに感染してしまうといったものです。

　この手法は昨年2017年11月に見つかった脆弱性（CVE-2017-11882）を悪用したものであり、悪意のある改変された文章を開くと、任意のコードを自動的に走らすことができるものです。この脆弱性はマクロを無効状態にしても無意味で、ファイルを開いた時点ですぐに悪意のあるコードが実行されるといった非常に危険な脆弱性であります。

　今回のマルウェアはURLを使って追加のダウンロードを実行させることができ、ダウンロードされたファイルには、マルウェアを投下するPowerShellスクリプトが含まれております。

　また、同時にMicrosoft .NET Frameworkに見つかった脆弱性（CVE-2017-8759）も利用しており、この脆弱性は昨年9月に開示され、修正パッチがすでに適用されています。

　この脆弱性は、悪意のある文章に組み込まれたOLEオブジェクトがURLをトリガーし、PowerShellプロセスをスタートさせることができることが出来ます。

　今回見つかったマルウェアは昨年見つかった脆弱性に対するパッチを適用していれば影響を受けません。ユーザーは、CVE-2017-11882とCVE-2017-8759両方のパッチが適用されているかどうか確認してください。