トレンドマイクロは企業を攻撃対象としたマクロを利用した不正プログラムを確認した。
今回確認されたのはBARTALEXというプログラムで、米国内で電子資金取引に使用される電子決済システムの自動決済機関(ACH)の詐欺に関連していたスパムメールによる攻撃であった。ACHを悪用した詐欺は添付ファイル付きのスパムメールでよく利用されるが、今回はView full detailsというリンクが記載され、Faxの受信メッセージや宅配、請求書などもスパムメールの雛形として利用されていた。リンクにアクセスするとDropboxに誘導され、「W2KM_BARTALEX.SMA」として検出される不正なWordファイルが保存されている。さらにDropbox上のページでマクロ機能を有効にするよう促す警告文が表示される。マクロを有効にすると不正なWordファイルがオンライン銀行詐欺ツールの「TSPY_DYRE.YUYCC」をダウンロードする。DYREの亜種は米国内の金融機関などを攻撃対象としている。
最新の調査で、BARTALEXもDYREも感染授法が改良され、Microsoft Outlookを乗っ取ってUPATREを拡散するという手法が含まれていた。UPATREにより情報窃取型不正プログラムのZBOTやランサムウェアがダウンロードされる。
Dropboxの悪用が確認されたのは今回が初めてではないが、マクロを利用して不正プログラムをホストする目的で利用することが確認されたのは今回が初めてで、現在も急増している。BARTALEXようなマクロを利用する不正プログラムは現在も効果的な感染経路で、さらに正規サービスのDropboxにホストしてスパムメールに利用する手法は今後さらに多くの企業を脅かす恐れがあるため、企業内システムに適切なセキュリティ対策を講じ、社員教育なども行う必要がある。
