Excel はフィッシング詐欺師の新鮮な餌として使用されています。その方法は次のとおりです。

Evil Corpは、Microsoft Excelドキュメントを使用して、被害者をフィッシングする新しい方法を発見しました。

TA505およびSectorJo4としても知られるサイバー犯罪グループは、金銭的に動機付けられたサイバー犯罪者です。 Necursボットネットを使用して、大規模な悪意のあるスパムキャンペーンで小売企業や金融機関を標的にすることで有名です。 しかし今、彼らは新しい技術を採用しています。

彼らの最新の詐欺では、悪意のあるExcelドキュメントを含むHTMLリダイレクタを特徴とする添付ファイルを送信しています。 リンクを介して、リモートアクセス型トロイの木馬を配布しています（ラット）、 マルウェアダウンローダー これにより、DridexおよびTrickバンキング型トロイの木馬が配信されました。 これには、Locky、BitPaymer、Philadelphia、GlobeImposter、Jaffランサムウェア株も含まれます。

「新しいキャンペーンでは、メールに添付されたHTMLリダイレクタを使用しています。 HTMLを開くと、ペイロードをドロップする悪意のあるマクロを含むExcelファイルであるDudearがダウンロードされます。」

「対照的に、過去のDudearの電子メールキャンペーンでは、マルウェアが添付ファイルとして運ばれたり、悪意のあるURLが使用されたりしていました。」 -マイクロソフトセキュリティインテリジェンスの研究者。

今日最大のマルウェアキャンペーンの一部で使用されているDudear（別名TA505 / SectorJ04 / Evil Corp）は、短い休止期間を経て、今月再び稼働しました。 戦術にいくつかの変更が見られましたが、復活したDudearは依然として情報を盗むトロイの木馬GraceWireの配備を試みています。

— Microsoft 脅威インテリジェンス (@MsftSecIntel) 2020 年 1 月 30 日

HTML添付ファイルを開くと、被害者は自動的にExcelファイルをダウンロードします。 彼らがそれを開くと、これは彼らが出会うものです：

ターゲットがドキュメントで指示されているように「編集を有効にする」をクリックすると、システム上のマルウェアを解き放ちます。

この時点以降、デバイスはIPトレースバックサービスにも感染します。このサービスは、「悪意のあるExcelファイルをダウンロードするマシンのIPアドレスを追跡します」。

脅威分析レポート (Microsoft)

これに加えて、マルウェアには情報を盗むトロイの木馬であるGraceWireが含まれています。このトロイの木馬は機密情報を収集し、コマンドアンドコントロールサーバーを介して加害者に中継します。

キャンペーンで使用されたマルウェアサンプルのSHA-256ハッシュを含む、侵入の痕跡（IOC）の完全なリストを表示します。 こちら および こちら.

情報源： ピーという音がするコンピュータ