「TrendLabs(トレンドラボ)」では、IT部署から送信されたように装ったスパムメールを確認。メールボックスの設定が変更されたという本文とともに、設定を確認する前に添付のPDFファイルを読むように促していました。
トレンドラボでは、これまでに、実在の企業からの通知を装ったスパムメールによる攻撃を多数確認していますが、今回の攻撃も、これまでに確認したものと類似しています。サイバー犯罪者は、受信者が誤って添付のPDFファイルを開いてしまうように、正規のものらしく見えるような細工をこのスパムメールに施したのです。
今回の攻撃に関連するスパムメールの一例が、以下のスクリーンショットとなります。このスパムメールは、トレンドラボが実際に受信したものです。
Eメールおよびメールの添付ファイルを開く際には、以下のようなことを常に心がけ、実践することにより、今回のような攻撃から身を守ることができます。
- ・メールの送信者を常に確認する。
- ・受信したメール内に疑わしい箇所がないか、間違いを探す。
- ・メールに記載されているリンクをクリックしない。
- ・添付ファイルの本来の拡張子を確認し、実行ファイルの場合決してクリックしない。
メールに添付されたPDFファイルは、「TROJ_PIDIEF.ZAC」として検出される不正なファイルです。このPDFファイルは、実行されると、埋め込まれたスクリプトファイル “batscript.vbs” を呼び出します。このスクリプトファイルは、 “game.exe” というワームのコンポーネントを作成し実行します。また、このワームのコンポーネントは、 “bp.sys” というルートキットファイルを作成し、自身の不正活動を隠匿し、ユーザから検出されるのを避けます。
これらのコンポーネントは、以下として検出されます。
- ・batscript.vbs (248,867 bytes) – 「VBS_EMOTI.A」として検出
- ・game.exe (35,328 bytes) – 「WORM_EMOTI.A」として検出
- ・bp.sys (8,416 bytes) – 「RTKT_EMOTI.A」として検出
最終的に、この脅威は、FTPサーバに接続し、感染コンピュータ上に他の不正なファイルをダウンロードします。
一方、同様のソーシャルエンジニアリングの手法を用いたスパムメールも確認されています。このスパムメールには、「TROJ_KATUSHA.F」として検出される不正なファイルが添付されています。
トレンドマイクロの製品をご利用のユーザは、クラウド型技術と連携した相関分析により、今回の脅威に関連する複数の不正コンポーネントの攻撃から保護されています。トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network(SPN)」では、「Web レピュテーション」技術により、ユーザがアクセスする前に、不正なWebサイトへの接続をブロックします。また、「E-mailレピュテーション」技術により、これらのスパムメールを受信することなくブロックできます。さらに、「ファイルレピュテーション」技術により、関連する不正ファイルを検出し削除します。
また、トレンドマイクロの製品をご利用でないユーザは、無料サービス「オンラインスキャン」を利用して、感染していないかどうか確認することをお勧めします。
「Fake IT Email Notification Spreads Malicious PDF」より
April 27, 2010 Carolyn Guevarra
|
翻訳: 橋元 紀美加(Technical Communications Specialist, TrendLabs)