エフセキュアブログ : 久々に確認、埋め込みオブジェクトの悪用した攻撃
岩井さんの記事。Outlookユーザーを狙ったと思われる埋め込みオブジェクトを悪用した攻撃。
3月頃から埋め込みオブジェクトを悪用した攻撃メールをちらほら見かけます。 Outlookユーザを狙った攻撃と推測され、Outlook 2010より古いバージョンなどでは添付ファイルのコピーをそのまま保存することができません。ドラッグ&ドロップでは、偽装アイコンの画像ファイルのみが保存されることになります。そのため、標的ユーザはファイルの内容を確認するためについクリックしてしまうようです。
エフセキュアブログ : 久々に確認、埋め込みオブジェクトの悪用した攻撃
ただ、埋め込みオブジェクトであるためか若干状況が異なります。EXEファイルでは先頭にあるはずのMZシグネチャが中央付近に確認できます。その上部には埋め込んだドキュメントファイルのパスが記述されています。つまり、単純にファイルシグネチャのみでファイルの種別を判定し、解析の実行有無を決定している類のセキュリティツールでは実行ファイルであることが認識できず、該当メールを見逃してしまう可能性があります。 #現在、そのような製品があるかは未確認です。昔あったような・・・。
エフセキュアブログ : 久々に確認、埋め込みオブジェクトの悪用した攻撃