添付ファイル(特に.ZIPファイル)は、今後は不審ファイルとして駆除すべき。/ Treat any attachment as suspicious, especially if it's a .ZIP file.


Qbotボットネットは、現在、悪意のあるMSI Windows Installerパッケージを含むパスワードで保護されたZIPアーカイブを添付したフィッシングメールを通じて、マルウェアのペイロードを送りつけています。

Qbotの運営者は、フィッシングメールで悪意のあるマクロを含むMicrosoft Officeドキュメントをターゲットのデバイスに落としてマルウェアを配信する標準的な方法から、この戦術を使うのは今回が初めてです。

この動きは、マイクロソフトが1月にExcel 4.0(XLM)のマクロをデフォルトで無効にした後、2月にVBA Officeマクロによるマルウェア配信を停止する計画を発表したことに対する直接的な反応ではないかと、セキュリティ研究者は考えています。

マイクロソフトは、VBAマクロの自動ブロック機能を、2022年4月上旬にCurrent Channel (Preview) のVersion 2203から、その後他のリリースチャネルや古いバージョンにも展開し、Office for Windowsユーザーへの提供を開始しました。

マイクロソフトは12月、「攻撃者がQakbotを配信するために使用している電子メールの手法はさまざまですが、これらのキャンペーンでは、Office文書、特にExcel 4.0のマクロに悪意のあるマクロを使用していることが共通しています」と発表しています。

"脅威は検出を回避する試みとしてExcel 4.0のマクロを使用しますが、この機能は現在デフォルトで無効になっているため、このような脅威が適切に実行されるためには、ユーザーが手動で有効にする必要があることに留意する必要があります。"

Office文書に埋め込まれた悪意のあるVBAマクロは、Qbot、Emotet、TrickBot、Dridexなど、フィッシング攻撃で多くのマルウェアを送り込む手法として一般的なため、今回のセキュリティ改善はOfficeユーザーの保護に向けた重要な改善と言えます。

出典:Treat any attachment as suspicious, especially if it's a .ZIP file. 

出典:Qbot malware switches to new Windows Installer infection vector