Microsoft OfficeのSandboxをVBAマクロを利用してエスケープし、Macにバックドアを開けるWordファイル型マルウェアが発見されたそうです。詳細は以下から。
米セキュリティ企業Malwarebytes LabsのThomas ReedさんやObjective-SeeのPatrickさんらは現地時間2018年12月05日、MicrosoftのWordファイルに偽装され、実行するとVisual Basicマクロを用いてOfficeのSandboxをエスケープし、Macにバックドアを作成するマルウェア「BadWord」が発見されたとして警告しています。
Multiple new pieces of #Mac #malware have appeared in December, all distributed through different means, but all opening backdoors on infected computers: https://t.co/n3pAQo1JIX by @thomasareed #cybersecurity #infosec #Apple
— Malwarebytes (@Malwarebytes) 2018年12月11日
Last week, we wrote about a new piece of malware called DarthMiner. It turns out there was more to be seen, as not just one but two additional pieces of malware had been spotted. The first was identified by Microsoft’s John Lambert and analyzed by Objective-See’s Patrick Wardle, and the second was found by Malwarebytes’ Adam Thomas.
Flurry of new Mac malware drops in December – Malwarebytes Labs
このマルウェアの感染経路は主にメールに添付されたWordファイルで、このWordファイルはイギリスBitcoin Magazineのインタビューを装っているそうですが、中にはペネトレーションテストに利用されるフレームワーク「Meterpreter」のバックドア用Pythonスクリプト「meterpreter.py」が同梱され、このスクリプトがMacにバックドアを作成するそうですが、このマルウェアがバックドアを作成するためにはMicrosoftのSandboxをエスケープしなければなりません。
BitcoinMagazine-Quidax_InterviewQuestions_2018.docm
そのため、このマルウェアの開発者は今年08月に発見されたOfficeの一時ファイルが正規表現だけにより判断され、ユーザーの許可無く実行できる脆弱性をLaunch Agent”~$com.xpnsec.plist”に適用して、Sandboxをエスケープしているそうです。
このマルウェア(Wordファイル)は既にMalwarebytes for Macを含め多くのセキュリティアプリが検出に対応し、この情報は既にMicrosoft側にも提供されているそうですが、
BitcoinMagazine-Quidax_InterviewQuestions_2018.docm: 4454e768b295ed2869f657b2e9f47421b6ca0548e67092735665cd339a41dddb DiscordApp.app.zip: a899a7d33d9ba80b6f9500585fa108178753894dfd249c2ba64c9d6a601c516b
Office for Mac開発チームのErik Schwiebertさんによると、この問題はまだ修正されていないそうなので、ユーザーの方は不用意に送られてきたWordファイルを開いたり、VBAマクロの実行許可を与えないようにしてください。
Not yet.
— Erik Schwiebert (@Schwieb) 2018年12月7日
- Word to Your Mac – Objective-See’s Blog
- Flurry of new Mac malware drops in December – Malwarebytes Labs
コメント