新種の攻撃手法として、ユーザが、マルウェアPowerPointファイルに埋め込まれた、リンクにマウスカーソルを置くだけで、banking Trojanに感染してしまう、というものが出てきました。

ハッカーは、スパムメールを使って、マルウェアPowerPoint Show (PPS) や、 Open XML Slide Show (PPSX)を送信します。これらのファイルは、通常のPowerPointファイル (PPT や PPTX)とは異なり、スライドショーモードでのみ、開くことができます。標的にされたユーザが、そのようなファイルをダウンロードして開くと、以下のようなハイパーリンクを含むスライドが表示されます。

ユーザが、このリンクの上にマウスカーソルをもっていくと、banking Trojanは自身をコンピュータにインストールしようと試みます。「保護ビュー」機能を持っているユーザが、この機能をONにしておくと、「有効」/「すべて有効」/「無効」ボタンのある、(fig 2のような)セキュリティ警告が表示されます。「有効」または、「すべて有効」をクリックすると、トロイの木馬型のマルウェアを埋め込む、マルウェアコードが実行されます。「無効」ボタンをクリックすると実行は回避されます。

そのため、古いバージョンのWindowsを使っている、または、「保護ビュー」機能をONにしていないユーザは、感染リスクが高い、といえます。この場合、リンクにマウスカーソルを置くことは、警告メッセージもなく、即座に感染してしまうことになります。

インストールされてしまうと、このbanking Trojanにより、ハッカーがリモートからこの感染したコンピュータを操作し、保存されているデータにアクセスできるようにし、他の悪意ある行為のホストコンピュータにされてしまいます。

Quick Healにできること:

Quick Healは、この攻撃に対して、多層保護を提供しています。

  • Quick Healは、このマルウェアをJS.Nemucod.DSGとして検知
  • Quick Healのウェブセキュリティ機能は、マルウェアのダウンロードを行うマルウェアリンクを検知し、ブロック

 

 

  • Quick Healのアンチウィルス機能は、マルウェアSlide Show (PPSX)をOLE.PS.Downloader.2352として、検知し、ブロック

 

 

取るべきセキュリティ対策

  1. 上記のようなセキュリティメッセージを受信したら、先に進まないことが肝心。また、対処に困ったら、常にセキュリティエキスパートに相談する
  2. 不審なメールに付随する、いかなるリンクも添付ファイルもクリックしない
  3. 様々なレベルでこの類の脅威を検知し、ブロックする、アンチウィルスソフトウェアを最新にしておくこと
  4. OSやアドビ、Java、ブラウザなどのプログラムに対して、推奨セキュリティアップデート(パッチ)を実装する
  5. 重要なデータは、セキュアな環境に定期的にバックをとっておく
  6. オンラインアカウントには、強力な推測されにくいパスワードを設定しておくこと