トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、2月18日以降、Excel 4.0マクロ(XLM)を使用したメール経由のマルウェア拡散を確認しています。これは古いマクロ形式を使用することでセキュリティ対策製品からの検出回避を狙う手法であり、日本の利用者への攻撃としては初めて確認したものです。
続きを読むサイバー犯罪者は、利益獲得に余念がありません。さまざまなオペレーティングシステム(OS)に応じて、攻撃対象、ツール、手法等を多様化します。そこで OS を問わず攻撃できるクロスプラットフォームの便利なマルウェアが作成されます。しかもそのようなマルウェアがサービスとして販売され、他のサイバー犯罪者達も手軽に入手できるとなれば、その影響範囲はさらに拡大します。
今回解説する「ADWIND(アドウィンド)(「JAVA_ADWIND」ファミリとして検出。別名:jRAT)」は、そのようなクロスプラットフォームの「Remote Access Tool(RAT)」です。Windows、Mac OS X、Linux、Android など複数の OS で、Java がインストールされていれば感染可能です。
続きを読むトレンドマイクロでは 2016年12月初旬から、「DreamBot(ドリームボット)」(「TSPY_URSNIF」などとして検出)による、国内ネットバンキングを狙った攻撃を確認しています。「DreamBot」は、既存のオンライン銀行詐欺ツールである「URSNIF(アースニフ)」(別名:Gozi)の不正コードを改造して作成されたと考えられる新たな亜種です。ネットバンキングの認証情報詐取のための Webインジェクションなどの活動に関しては、「DreamBot」とこれまでの「URSNIF」との間に大きな相違はありません。しかし、匿名ネットワークである「Tor」の利用により C&C通信を隠ぺいする活動が追加されており、「DreamBot」の最大の特徴として挙げられます。警視庁や日本サイバー犯罪対策センター(JC3)からも注意喚起が出されており、今後の被害拡大に注意が必要です。
続きを読む2016年を通じ、マルウェアスパム、つまりメール経由での不正プログラム拡散が猛威を振るったことは、2017年1月10日のランサムウェア、1月13日のオンライン銀行詐欺ツールに関する昨年の傾向をまとめた記事でも触れている通りです。このメール経由の攻撃が 2017年に入っても継続している例として、本日 1月17日朝、日本語メールによるオンライン銀行詐欺ツールの拡散を確認しました。
図1:今回確認されたマルウェアスパムの例
オンラインショッピングなどの請求書を偽装して不正プログラムを感染させようとするマルウェアスパムの手口は以前から存在しますが、トレンドマイクロではこの 12月8日以降同じ手口のマルウェアスパムが急増していることを確認しました。確認されたマルウェアスパムは、RTF形式の文書ファイルが添付されただけの非常に単純なものです。しかし、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の統計では、12月8~9日の 2日間で、添付された不正プログラムが国内の 800台以上から検出されています。
続きを読む
