記事本文(要約)
攻撃者がSourceForgeを悪用し、マルウェアをインストールする偽のMicrosoftアドインを配布している。同プラットフォームはオープンソースプロジェクトに使われる正当なソフトウェアホスティングサイトだが、今回のようにマルウェアが配布されることは珍しい。カスペルスキーによると、このキャンペーンでロシアを中心に4,604以上のシステムが影響を受けた。
偽のプロジェクト「officepackage」は、正当なMicrosoftの『Office-Addin-Scripts』を模倣しており、ユーザーがGoogle検索を行うと、異なるウェブホスティング機能を利用したページに誘導された。このページで「Office Add-ins」と称するリンクをクリックすると、パスワード保護されたアーカイブがダウンロードされる。
アーカイブには、AVスキャンを回避するために700MBに膨らませたMSIファイルが含まれており、それを実行すると、GitHubからスクリプトをフェッチして持続性を確立する。マルウェアは、暗号通貨マイニングとクリップボードのアドレス交換を行うクリッパーの機能を持ち、さらにTelegramを通して追加のペイロードを送り込むことが可能である。
ユーザーは、信頼できる公開元からソフトウェアをダウンロードし、公式チャネルを利用し、すべてのダウンロードファイルを最新のAVツールでスキャンすることが推奨される。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 08 Apr 2025 16:53:33 -0400
Original URL: https://www.bleepingcomputer.com/news/security/fake-microsoft-office-add-in-tools-push-malware-via-sourceforge/
詳細な技術情報
- 脆弱性の仕組み
- 偽のソフトウェアプロジェクト: 攻撃者は、合法的なソフトウェアプロジェクトと類似した偽のプロジェクトを作成し、ユーザーを騙すことで悪意のあるソフトウェアをダウンロードさせています。
- 大容量ファイルを利用したAV回避: インストーラーは不必要に大きく(700MB)することで、ウイルス対策ソフトのスキャンを回避します。
- 仮想環境検出: 実行環境がシミュレートされたものでないかを確認していることから、分析者や検出を逃れることを意図しています。
- 攻撃手法
- 1. 偽装による社会技術的手法: 真正の開発ツールを装ったウェブページを設定して、ユーザーを騙してダウンロードさせる。
- 2. 暗号資産マイニングとクリップボードハイジャック: マシンのリソースを盗むことと、クリップボードの内容を改変することで、暗号資産の盗難を行います。
- 3. 持続性の確保: レジストリの変更とWindowsサービスの追加により、システムへの持続的なアクセスを確立します。
- 潜在的な影響
- 計算資源の消費: コンピュータの処理能力を奪い、システム性能を低下させます。
- 暗号資産の盗難: クリップボードの内容を改変し、ユーザーの知らぬ間に暗号資産を攻撃者に送信させます。
- 情報漏洩: 感染したシステムの情報が攻撃者へ送信され、さらなる脅威を受ける可能性があります。
- 推奨される対策
- 1. ソース信頼性の確認: ソフトウェアは信頼できるパブリッシャーや公式プロジェクトチャネル(例:GitHub)からのみダウンロードする。
- 2. ウイルス対策ソフトの利用: 最新のウイルス対策ツールで全てのダウンロードファイルを実行前にスキャンする。
- 3. セキュリティ教育: ユーザーに対して社会技術的攻撃の認識を高め、自分で判断できるようにする。
- 4. ソフトウェアの脆弱性の定期的な更新: ウイルス対策ソフトやOSの更新版を常にインストールし、既知の脆弱性からの保護を確保する。
