「KULUOZ」を拡散するスパムメール、検出回避にニュース記事の見出しを悪用

「TrendLabs(トレンドラボ)」は、2014年4月23日のブログ記事で、韓国の旅客船沈没事故の直後に、このニュースに便乗して「KULUOZ」を拡散するスパムメール活動について報告しました。

前回のブログ記事で言及したように、「KULUOZ」は、ボットネット「Asprox」によって拡散される不正プログラムです。この不正プログラムは、「FAKEAV」や「ZACCESS」といった他の不正プログラムを感染PC上にダウンロードします。また、特定のコンポーネントをインストールすることによって、これらの感染PC を「Asprox」のボットネットの一部にすることも可能です。そのため、感染PC は、不正プログラムに感染するだけでなく、スパムメールを送信することにもなります。トレンドラボでは、このスパムメール活動を、3月末ごろから確認しています。

このスパムメール活動は現在もまだ活発で、この活動に関わるサイバー犯罪者は、大手報道機関のニュース記事の見出しを利用しているようです。以下は、利用された見出しの一部です。

  • Dozens killed by Baghdad bombings
  • Driving ex-soldiers back to work
  • E3: Video games ready for action
  • Football: Ribery ruled out for France
  • Hollywood pays tribute to Jane Fonda
  • Knife attack at South China Station
  • Links to UK political websites
  • Many missing as South Korea Ferry sinks
  • Saved by an illegal, homemade radio
  • Teenage star of cancer diagnosis
  • Thai coup prompts warnings to tourists
  • U.N.: Chemicals damaging health and environment
  • Ukraine President
  • VIDEO: Climate change to cause flash floods
  • VIDEO: The 2014 World Cup in numbers
  • What do young Harvard graduates believe? など。

このように見出しを利用する手口は、比較的単純で、スパムメール活動としては典型的です。スパムメール送信者は、ニュースサイトの見出しと記事の一部をコピーし、スパムメールに組み込みます。こうすることで、ユーザにメールを本物であるかのように思わせ、スパムメールをブロックするフィルタを回避します。この「KULUOZ」を拡散するスパムメール活動は、CNN や BBC といった大手メディアも、ニュース記事を「情報源」として利用しているようです。

図1:中国・広州駅での襲撃事件に言及したスパムメール。リンク先で「KULUOZ」がダウンロードされる
図1:中国・広州駅での襲撃事件に言及したスパムメール。リンク先で「KULUOZ」がダウンロードされる

トレンドラボが、今回のスパムメール活動に関する検体を解析していたところ、タイの軍事クーデターを利用したスパムメールで、Fedex や米国郵便公社からの通知書を装うスパムメールと、同じフォーマットが利用されていることが判明しました。

図2:タイの軍事クーデターのニュースを利用したスパムメール。リンク先で「KULUOZ」がダウンロードされる
図2:タイの軍事クーデターのニュースを利用したスパムメール。リンク先で「KULUOZ」がダウンロードされる

以前のスパムメール活動と同様に、この問題の通知書は、小包が地元の郵便局に到着し、それを受け取るために出荷ラベルを印刷することをユーザに促す内容となっています。

このスパムメールは、出荷ラベルを印刷するリンクを表示しますが、実際は不正なリンクとなっており、ユーザは「BKDR_KULUOZ.ED」として検出される不正プログラムをダウンロードすることになります。

図3:圧縮ファイル「USPS_Label_US_Irving.zip」がダウンロードされる。このファイルは、「BKDR_KULUOZ.ED」として検出される
図3:圧縮ファイル「USPS_Label_US_Irving.zip」がダウンロードされる。このファイルは、「BKDR_KULUOZ.ED」として検出される

今回の事例は、典型的なスパムメール活動のように見えます。ニュースの見出しを利用してスパムメールのフィルタを回避し、ユーザを引きつけて記事を読ませようとします。不正プログラムが侵入に成功すると、安全対策がされていない PCは、そのセキュリティが侵害されることを心に留めておいて下さい。

また、ニュースの見出しが、長い間利用されていることにもご留意下さい。これはつまり、話題となるニュースがあれば、それを利用する脅威があるということです。今後も、今回のようなスパムメール活動が間違いなく続くでしょう。トレンドラボでは、必要に応じて最新情報を本ブログ上で公開していきます。

トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

参考記事:

  • Cybercriminals Steal News Headlines for KULUOZ Spam Campaigns
    by Maria Manly (Anti-spam Research Engineer)

    •  翻訳:品川 暁子(Core Technology Marketing, TrendLabs)

    Related posts:

    1. 韓国の旅客船沈没事故ニュース、スパムメール検出回避に利用される
    2. ブラジルで開催予定「2014 FIFAワールドカップ」に便乗した脅威を確認
    3. オンライン銀行詐欺ツールを新しく確認 ネットワークを傍受して情報を窃取
    4. フィッシング攻撃に注意、「ビジネスメール詐欺」の攻撃手口を分析