BHEKに酷似したスパムメール、不正なファイルを添付

「Blackhole Exploit Kit(BHEK)」の作成者とされる「Paunch」が逮捕されてまもなく、トレンドマイクロでは、BHEK を組み込んだ Webサイトへ誘導するスパムメール送信活動の流れが大幅に減少し、その代わりに、不正なファイルが添付されたメールが増加しているのを確認しています。

ところが 2013年11月上旬に入ってから、2種類の攻撃特性を併せ持った、通常とはかなり異なるスパムメールが確認されました。

図1:スパムメールの例
図1:スパムメールの例

これらの問題のスパムメールには、不正な Webサイトへのリンクと、不正な添付ファイルの両方が含まれています。両方の脅威を含むスパムメールは一般的ではありません。通常、どちらか片方になります。

これらのスパムメールにリンクされた URL は、大抵改ざんされた Webサイトであり、BHEK で使用される JavaScript のファイルに類似したファイルに誘導します。これらの JavaScript のファイルが、エクスプロイトキットにつながるランディングサイトに誘導するのか確認が取れていませんが、弊社が確認した改ざん Webサイトに加えられたコンテンツは、BHEK の一連の活動で利用されたものとほぼ一致しています。

不正な添付ファイルは、ダウンローダ「UPATRE」の亜種「TROJ_UPATRE.SMB」として検出されます。このダウンローダは、感染した PC にオンライン銀行詐欺ツール「ZBOT」の亜種をインストールします。なお弊社は、ボットネット「Cutwail」が、ダウンローダ「UPATRE」を添付ファイルとしてスパムメールを送っていることを確認していましたが、これも同様の事例です。

長期的にこれが何を意味するかは、まだ不明です。攻撃者が、長期的な「解決策」として、BHEK の代わりとなる他のエクスプロイトキットに移行し始めているのかもしれませんが、確かなことは言えません。弊社は、ユーザを守るために、引き続き新たな脅威を監視していきます。トレンドマイクロ製品をご利用のユーザは、弊社のクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」によって守られています。特に「E-mailレピュテーション」技術により、この脅威に関連する E メールをブロックします。また「Webレピュテーション」技術により、この脅威に関連する不正な Web サイトへのアクセスをブロックします。そして、「ファイルレピュテーション」技術により、上述の不正プログラムを検出し、削除します。

※協力執筆者:Emmanuel Nisperos

参考記事:

  • Unusual BHEK-Like Spam With Attachment Found
    by Jonathan Leopando (Technical Communications)
  • 翻訳:品川 暁子(Core Technology Marketing, TrendLabs)