マルウェアを秘密裏に拡散する、サイバー攻撃者達の新たな戦略が明らかになりました。YouTubeの動画を武器に変え、ユーザーがWordファイルにエンベデッドされた悪性のYouTube動画のサムネイルをクリックすると、JavaScriptが実行されます。この過程で、エラーや警告メッセージが表示されることは一切ありません。
サイバー攻撃のシミュレーションを行う企業が、WordファイルにYouTube動画を挿入し、サイバー攻撃者達の行為をそのまま再現することに成功しました。他の種類の動画を挿入することも可能で、YouTube動画を他のOfficeアプリケーションに挿入することも可能だと見られています。
Microsoft Wordにある動画エンベデッド機能は、動画イメージの後にHTMLスクリプトを生成するものです。実際のWordファイル上では小さなサムネイルを作り、Internet Explorerを通じて動画エンベデッド機能が実行されます。その企業が行ったシミュレーションによると、このHTMLコードは編集することが可能で、YouTube動画ではないマルウェアに接続させることができると言います。
Wordプログラムが使用するデフォルトXMLファイルの名前はdocument.xmlです。まずこのファイルを抽出して編集することが可能です。エンベデッドされた動画の設定内容が、このファイル内に保存されています。パラメータはembeddedHtmlで、YouTube動画に対するiFrame要素が付け加えられています。この要素を、サイバー攻撃者が改変したHTMLとすり替えることで、攻撃への悪用が可能となります。
その企業がシミュレーションの為に使用したHTMLには、Base64で暗号化されたマルウェアバイナリが含まれていました。このバイナリが実行されるとInternet Explorerのダウンロード管理者を実行し、マルウェアをインストールします。Wordファイル内の動画は正常に再生されますが、その裏側ではマルウェアが秘密裏に動作し始めます。このような攻撃方法が成功すれば、理論上では全ての種類のコードを実行出来る、という事になります。しかしランサムウェアやトロイの木馬など、サイバー攻撃者がどのような種類のコードを実行させるのかによって検知されるかどうか、が決定されます。このような理由からゼロデイ・エクスプロイトを使用したとしたら、サイバー攻撃者としては最高の成果が期待できるでしょう。