mouseoverイベントで感染

mouseoverイベントというものをご存じですか？
mouse hoverと表記されることもあります。
ポインティングデバイス (マウスやトラックパッドなど) のカーソルが要素またはその子要素のうちの一つの上を移動したときに発生するイベントです。
画像の上にマウスポインタを持っていくとその画像の説明の文字列が表示されるなどの動きを実現している元となっているイベントです。
この機能を悪用した攻撃が観測されています。

• 脅威アクターはOECDに関連したものと騙るPowerPointファイルを公開する
• 誰かがそのPowerPointファイルをダウンロードする
• PowerPointファイルをプレゼンモードで表示する
• 画面に表示されるURL表示にマウスポインターを重ねる
  重ねるだけです、クリックは必要ありません。

   

• 悪意あるPowerShellスクリプトが起動される
  JPGファイルが勝手にダウンロードされます。

   

• JPGファイルはJPGファイルではない
  ダウンロードしたJPGファイルはファイル名はJPGファイルです。
  が、中身は暗号化されたDLLファイルになっています。
  これが1段目の取り込みとなっています。
  復号化され、配置され、起動されます。

   

• 2段目の取り込み
  マルウェアは1段目のファイルのみでは出来上がりません。
  1段目は2段目のJPGに見えるものを入手し、ごにょごにょ処理します。

   

• マルウェアはGraphite
  ごにょごにょした結果はGraphiteです。
  Graphiteはマルウェアダウンローダーです。
  感染機器のメモリ上にマルウェアを持ってきて動作させます。
  永続化の仕込みも実施されます。

マクロを有効にさせるような利用者を意のままに動かす必要がある行為は必要ありません。
それどころかマウスをクリックさせることさえも必要ありません。
単に特定の場所にマウスを移動させるだけで感染します。

仕込まれたファイルを入手してしまった時点でこの攻撃は不可避な気がします。

また嫌なものが出てきました。

参考記事（外部リンク）：In the footsteps of the Fancy Bear: PowerPoint mouse-over
event abused to deliver Graphite implants
blog.cluster25.duskrise.com/2022/09/23/in-the-footsteps-of-the-fancy-bear-powerpoint-graphite/