Dropboxのリンクを悪用する「UPATRE」を確認

「UPATRE」に代表される脅威は、セキュリティ対策を回避する技術などを取り入れ進化を続けています。「UPATRE」ファミリは、オンライン銀行詐欺ツール「ZBOT」のダウンローダとして知られており、通常スパムメールの添付ファイルを介して拡散します。トレンドマイクロは、2014年5月、人気のオンラインストレージサービス「Dropbox」を悪用する複数のスパムメール活動を確認しました。これらのスパムメールに記載されているリンクをクリックすると、「UPATRE」ファミリの亜種がダウンロードされます。このスパムメール活動に関して特筆すべき点は、メールに記載された URL を介して「TROJ_UPATRE」が拡散する初めてのケースだということです。

弊社が確認したスパムメールの 1つは、本文に Dropbox のリンクが記載されたインターネットFax サービス「eFax」の通知メールを装ったものでした。ユーザが誤ってこのリンクをクリックすると、Dropbox の URL に誘導され、「TROJ_UPATRE.YYMV」として検出される不正なファイルがダウンロードされます。「TROJ_UPATRE.YYMV」が実行されると、この不正プログラムは、「ZBOT」の亜種(「TSPY_ZBOT.YYMV」として検出)をダウンロードします。また、次に「TSPY_ZBOT.YYMV」は、「RTKT_NECURS.MJYE」として検出されるルートキットを作成します。「NECURS」ファミリは、感染PC上のセキュリティ機能を無効にする不正活動を行うことで知られています。これにより PC は、別の不正プログラムに感染する危険にさらされることになります。

図1:スパムメールの一例
図1:スパムメールの一例

図2:eFax の正規の Eメール通知
図2:eFax の正規の Eメール通知

弊社では、英国の銀行「NatWest Bank」を装ったスパムメールも確認しています。このスパムメールには、Dropbox のリンクが記載されており、リンク先には、「NatWest 財務活動計算書」とされるファイルが含まれていますが、実際は、「TROJ_UPATRE」ファミリの不正プログラムです。この不正プログラムも同様に、「UPATRE」から「ZBOT」、「NECURS」と続く感染の連鎖を引き起こします。弊社の調査によると、このスパムメール活動も特に「Lloyds Bank」や「eFax」、「Intuit」、「ADP」、「BBB」、「Skype」といった実際の企業名を利用します。また、本文に Dropbox のリンクが記載されているものの、実際にはカナダの医薬関連サイトに誘導するスパムメールも確認しています。

弊社は、このスパムメール活動が開始された 5月23日以来監視を続けており、その 1週間後にはスパムメール活動の増加が始まりました。Dropbox は、すでに投稿でこの事例について報告しています。弊社でも、不正プログラムの拡散のために利用されたと思われる Dropbox のアカウントを報告し、現時点のリストを提出しています。

弊社は、2014年4月、「UPATRE」から「ZBOT」、「NECURS」と続く同様の感染連鎖を引き起こす納税に関するスパムメールについて報告しました。弊社の情報によると、「UPATRE」ファミリが、2014年1月から 5月にかけてスパムメールを介して最も多く拡散された不正プログラムとなっています(図3 参照)。

図3:2014年1月から 5月にかけて、スパムメールを介して拡散された上位 5位の不正プログラム
図3:2014年1月から 5月にかけて、スパムメールを介して拡散された上位 5位の不正プログラム

サイバー犯罪者は、頻繁に話題性のあるものをソーシャルエンジニアリングの餌として利用します。今回の事例では、正規の Dropbox のリンクを悪用することでユーザを騙し、情報収集を行う可能性のあるさまざまな不正プログラムをダウンロードさせました。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また、「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。 

【更新情報】

2014/06/13 15:00 弊社は、Dropbox のリンクを悪用する「UPATRE」を確認してから数日後、新たなスパムメールを確認しました。このスパムメールも同様に、Dropbox から不正なファイルをダウンロードします。

図4:「CryptoLocker」の亜種「Cryptowall」をダウンロードさせるスパムメール
図4:「CryptoLocker」の亜種「Cryptowall」をダウンロードさせるスパムメール

図4 は、音声メールを装ったスパムメールです。このスパムメールの最終的な不正活動は、「TROJ_CRYPWALL.D」として検出される「CryptoLocker」の亜種「Cryptowall」です。以前の「CryptoLocker」が独自の「Graphical User Interface(GUI)」を備えていたのに対し、この不正プログラムは、匿名通信システム「The Onion Router(Tor)」で接続された Webサイトを直接開き、支払いを要求します。

※協力執筆者:Maydalene Salvador および Rhena Inocencio

参考記事:

  • Social Engineering Watch: UPATRE Malware Abuses Dropbox Links
    by Maria Manly (Anti-spam Research Engineer)

    •  翻訳:木内 牧(Core Technology Marketing, TrendLabs)

    Related posts:

    1. アンダーグラウンドで新たに販売される「BlackOS」とサイバー犯罪者「Severa」
    2. FBIがオンライン銀行詐欺ツール「Gameover」のネットワークを閉鎖、トレンドマイクロも協力
    3. オンライン銀行詐欺ツールを新しく確認 ネットワークを傍受して情報を窃取
    4. 「DOWNAD」:2014年第2四半期、最も多くスパムメールを送信した不正プログラムに