トレンドマイクロ、キー操作自動化ツール「AutoHotkey」を悪用した攻撃を確認・警告

トレンドマイクロの公式セキュリティブログ

　トレンドマイクロ（株）は4月4日、キーボード操作を自動化するツール「AutoHotkey」を悪用した攻撃を新たに確認したことを明らかにした。公式セキュリティブログで注意を喚起している。

　それによると4月2日、フリーのオンラインマルウェアスキャンサービス“VirusTotal”に“Military Financing.xlsm”という名前の「Microsoft Excel」マクロファイルがアップロードされた。このマクロは「AutoHotkey」本体とそれを読み込ませるためのスクリプトをバイナリ形式で含んでおり、マクロを実行するとそれらを実行する。「AutoHotkey」そのものは正規のもので、広く使われているツールだ。そのため、マルウェア対策ソフトによる検出をかいくぐる意図があるものと思われる。

　当該スクリプトは、OSのスタートアップ時に「AutoHotkey」を起動するように設定するほか、約10秒ごとにC＆Cサーバー（マルウェアに感染したPCに司令を送り、制御するサーバー）に通信し、指令に応じて追加の「AutoHotkey」スクリプトをダウンロード・実行する。同社が確認しただけでも、以下のスクリプトが存在することが明らかになっている。

• hinfo.ahk：コンピュータ名を送信
• hscreen.ahk：デスクトップのスクリーンショットをJPEG形式で送信
• htv.ahk ：リモートPC操作ソフト「TeamViewer」をダウンロード・実行

　こうした攻撃の目的や主体はまだ明らかになっていない。同社は引き続き調査を継続するとのこと。また、メールの添付ファイルの扱いに注意するとともに、多層防御を実施し、侵入を前提として早期に攻撃を検出できる仕組みを複数用意することが重要だとしている。