headless 曰く、

PowerPointのスライドショー形式ファイルを使い、マルウェアをインストールさせるスパムキャンペーンが5月下旬に発生していたそうだ(TrendLabs Security Intelligence Blogの記事、 Dodge This Securityの記事、 Neowinの記事、 Ars Technicaの記事)。

使われたファイルは.pps/.ppsxファイルで、直接プレゼンテーション/スライドショーモードで起動する。マクロやVBAなどは使われておらず、ハイパーリンクのmouseoverアクションにPowerShellでマルウェアをダウンロードしてインストールさせる処理が指定されているという。なお、今回のスパムキャンペーンではZusyやOTLARD、Gootkitなどと呼ばれるインターネットバンキングを対象にしたトロイの木馬がインストールされるようになっていたそうだ。

このファイルは明細書のようなタイトルのスパムメールに添付して送付され、被害者がファイルを開くと「Loading...Please wait」というテキストがハイパーリンクとして表示される。あとは被害者がハイパーリンク上にマウスをホバーするだけでアクションが実行される仕組みだ。

PowerPoint 2010以降では保護ビューが既定で有効になっており、ハイパーリンクをホバーした際に外部プログラムの実行をブロックしたというメッセージが表示される。ただし、メッセージ上のボタンで実行の有効化を選択すればブロックは解除されてしまうとのこと。

Trend Microの観測によれば、このスパムキャンペーンはEMEA地域、特に英国、ポーランド、オランダ、スウェーデンの組織が影響を受けたといい、ピーク時の5月25日には1,444件の検出が報告されたそうだ。しかし翌26日には782件に減少し、29日には終息したとのことだ。