RTFに埋め込まれたマルウェア

政本です。RTFファイル(リッチテキストフォーマット)に埋め込まれたマルウェア(実行ファイル)が、標的型攻撃メールやスパムメールなどに添付されているケースがあるようです。
攻撃者がRTFを使う目的は、メールの配送途中にあるゲートウェイ・アンチウイルスの検知を回避すること、およびユーザの警戒心を緩和すること、あたりだと考えます。
弊社でも、テスト用に、RTFにマルウェアを埋め込んだファイルを作成し、弊社の標的型攻撃対策製品(FireEye)で検知されることを確認しました。

RTFをサポートしたテキストエディタを使うと、RTF内に任意のファイルを埋め込むことができます。標的型攻撃やスパムでは、下図のように、実行ファイルのアイコンを、サムネイル表示のように見せ、クリックを誘います。

Rtf_with_malware_2

FireEyeでの検知結果は下図の通りです。

Fe_detect

前へ

無償のマルウェア検知ツール「CrowdInspect」を使ってみた

次へ

検証用コードサイニングEXEと無署名EXE