検索:
ホーム   »   マルウェアスパム

徹底検証「EMOTET」:検出技術による攻撃手口の可視化
  • 投稿日:2022年5月30日
  • 脅威カテゴリ:対策技術, スパムメール, 攻撃手法
  • 執筆:スレットマーケティンググループ
0

現在、国内で最も大きな脅威となっているマルウェアとして「EMOTET」が挙げられます。本ブログでもこれまで、EMOTETに関する様々な注意喚起と解析記事を取り上げてまいりました。EMOTETの主な拡散経路はマルウェアスパム、つまりメール経由です。EMOTETの攻撃メールのほとんどで、不正マクロを含むOffice文書ファイルを添付ファイルなどの形式で開かせる手口が使われてきました。これに加えこの4月末からは、Windowsのショートカットリンク(.lnk)ファイルを悪用する新たな手口も確認しています。本記事ではこのEMOTETの、不正マクロを含むOffice文書ファイル、ショートカットリンクファイルの双方の手口に対して弊社トレンドマイクロの検出技術がどのように有効であるのかを検証いたしました。検証にあたっては、当社のサポートケースでご提供いただいた検体やインターネット上から入手可能なサンプルを使用しました。またトレンドマイクロの検出技術としては、クロスレイヤの検知と対応(XDR)機能を搭載する脅威防御のプラットフォーム「Trend Micro Vision One™」を用いました。検証のシナリオとしては、添付ファイルに対し従来型検出技術(パターンマッチング)が未対応のタイミングでEMOTETのマルウェアスパムが着信し、利用者が添付ファイルを開いてしまった場合を想定します。

(さらに…)

続きを読む
Tags: 不正マクロマルウェアスパムEMOTET

「EMOTET」の新手口:ショートカットリンクに注意
  • 投稿日:2022年5月6日
  • 脅威カテゴリ:メール, スパムメール, 速報, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

マルウェア「EMOTET」の活動に変化が見られました。新たにEMOTETの活動に悪用されたのはWindowsのショートカットリンク(.lnk)ファイルです。このようなショートカットリンクを悪用する手法は、標的型攻撃の中では少なくとも2016年の段階で確認されている手法ですが、EMOTETのマルウェアスパムで確認されたのは初めてです。本項執筆時点の4月28日現在、この不正ショートカットリンクを含むEMOTETスパムはまだ大量送信には至っていませんが、既に中心的な手口となってきているため、本記事をもってこのEMOTETの新たな手口への注意喚起といたします。

図:2022年4月22日以降に確認されたEMOTETスパムの例
添付ファイル内にショートカットリンク(LNKファイル)が含まれている

(さらに…)

続きを読む
Tags: 不正マクロマルウェアスパムEMOTET

遠隔操作ツール「Gh0stCringe」が人気コミュニケーションアプリを偽装したメールで拡散
  • 投稿日:2019年9月9日
  • 脅威カテゴリ:フィッシング, 攻撃手法
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

人気の企業やサービスからの連絡メールを偽装して受信者を騙し、不正サイトへ誘導する攻撃は継続してその手口を変化させています。トレンドマイクロでは、人気コミュニケーションアプリの運営会社からのメールを偽装し、不正サイトへの誘導から遠隔操作ツール(RAT)である「Gh0stCringe」の亜種を感染させる攻撃を国内で確認しました。この攻撃ではRATと共に不正活動の隠蔽を行うルートキットが侵入するため、被害に遭ったことに気づけない可能性が高い攻撃になっています。

図
図1:Gh0stCringeを感染させる不正サイトの例

(さらに…)

続きを読む
Tags: マルウェアスパムRAT

検出回避を狙いExcel 4.0マクロを利用する攻撃を国内初確認
  • 投稿日:2019年2月28日
  • 脅威カテゴリ:スパムメール, 攻撃手法
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

トレンドマイクロでは日夜多くのサイバー攻撃を監視していますが、2月18日以降、Excel 4.0マクロ(XLM)を使用したメール経由のマルウェア拡散を確認しています。これは古いマクロ形式を使用することでセキュリティ対策製品からの検出回避を狙う手法であり、日本の利用者への攻撃としては初めて確認したものです。

(さらに…)

続きを読む
Tags: マルウェアスパムマクロ

各OSに対応するJavaのRAT「ADWIND」が再び確認。スパムメールで拡散
  • 投稿日:2017年7月14日
  • 脅威カテゴリ:不正プログラム, メール, モバイル, TrendLabs Report, 感染媒体
  • 執筆:Threats Analysts - Rubio Wu and Marshall Chen
0

各OSに対応するJavaのRAT「ADWIND」が再び確認。スパムメールで拡散

サイバー犯罪者は、利益獲得に余念がありません。さまざまなオペレーティングシステム(OS)に応じて、攻撃対象、ツール、手法等を多様化します。そこで OS を問わず攻撃できるクロスプラットフォームの便利なマルウェアが作成されます。しかもそのようなマルウェアがサービスとして販売され、他のサイバー犯罪者達も手軽に入手できるとなれば、その影響範囲はさらに拡大します。

今回解説する「ADWIND(アドウィンド)(「JAVA_ADWIND」ファミリとして検出。別名:jRAT)」は、そのようなクロスプラットフォームの「Remote Access Tool(RAT)」です。Windows、Mac OS X、Linux、Android など複数の OS で、Java がインストールされていれば感染可能です。

(さらに…)

続きを読む
Tags: ADWINDマルウェアスパムスパムメールRAT

国内ネットバンキングを狙う新たな脅威「DreamBot」を解析
  • 投稿日:2017年3月16日
  • 脅威カテゴリ:不正プログラム, メール, スパムメール, サイバー犯罪, サイバー攻撃, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

国内ネットバンキングを狙う新たな脅威「DreamBot」を解析

トレンドマイクロでは 2016年12月初旬から、「DreamBot(ドリームボット)」(「TSPY_URSNIF」などとして検出)による、国内ネットバンキングを狙った攻撃を確認しています。「DreamBot」は、既存のオンライン銀行詐欺ツールである「URSNIF(アースニフ)」(別名:Gozi)の不正コードを改造して作成されたと考えられる新たな亜種です。ネットバンキングの認証情報詐取のための Webインジェクションなどの活動に関しては、「DreamBot」とこれまでの「URSNIF」との間に大きな相違はありません。しかし、匿名ネットワークである「Tor」の利用により C&C通信を隠ぺいする活動が追加されており、「DreamBot」の最大の特徴として挙げられます。警視庁や日本サイバー犯罪対策センター(JC3)からも注意喚起が出されており、今後の被害拡大に注意が必要です。

(さらに…)

続きを読む
Tags: マルウェアスパムネットバンキング

2017年もマルウェアスパムの攻撃は継続中、新たな「火曜日朝」の拡散を確認
  • 投稿日:2017年1月17日
  • 脅威カテゴリ:対策技術, 不正プログラム, メール, 速報, 日本発, 感染媒体
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

2017年もマルウェアスパムの攻撃は継続中、新たな「火曜日朝」の拡散を確認

2016年を通じ、マルウェアスパム、つまりメール経由での不正プログラム拡散が猛威を振るったことは、2017年1月10日のランサムウェア、1月13日のオンライン銀行詐欺ツールに関する昨年の傾向をまとめた記事でも触れている通りです。このメール経由の攻撃が 2017年に入っても継続している例として、本日 1月17日朝、日本語メールによるオンライン銀行詐欺ツールの拡散を確認しました。

図1:
図1:今回確認されたマルウェアスパムの例

(さらに…)

続きを読む
Tags: マルウェアスパムオンライン銀行詐欺ツールURSNIF

「あなたは新しい請求書 ~ を持っています」日本語メールでのランサムウェア拡散を確認
  • 投稿日:2016年4月8日
  • 脅威カテゴリ:不正プログラム, メール, サイバー犯罪, サイバー攻撃, 日本発
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

昨年末から電子メールによる不正プログラム拡散の攻撃が激化していますが、トレンドマイクロではまた新たなマルウェアスパムキャンペーンを確認しました。2016年4月6日以降、「あなたは新しい請求書############を持っています」(「#」は数字)という日本語件名で、ランサムウェアを拡散させるマルウェアスパムが確認されており、トレンドマイクロでは、4月6日の1日間だけで同種のマルウェアスパムを1万6000通以上検出しました。

(さらに…)

続きを読む
Tags: マルウェアスパムランサムウェア

ネットバンキングを狙う偽装メールが再来:今回は「請求書」と「ファックス受信」
  • 投稿日:2015年10月27日
  • 脅威カテゴリ:不正プログラム, スパムメール, サイバー犯罪
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

トレンドマイクロは、2015年10月27日朝、3種のマルウェアスパムが広範囲に拡散したことを確認しました。この 3種のマルウェアスパムはすべて同一のオンライン銀行詐欺ツールを頒布するもので、トレンドマイクロSPN の観測では合わせて 11,000通以上の送信を確認しています。特に 10月9日のブログで報じた偽装メール攻撃との共通点が多く、同様の手口による攻撃が今後も繰り返されることが予想されるため、注意喚起いたします。

(さらに…)

続きを読む
Tags: 偽装メールマルウェアスパムオンライン銀行詐欺ツール日本語

12月8日から急増の請求書偽装スパム、主な狙いは国内銀行15行の認証情報か?
  • 投稿日:2014年12月10日
  • 脅威カテゴリ:不正プログラム, スパムメール, サイバー犯罪
  • 執筆:セキュリティエバンジェリスト 岡本 勝之
0

オンラインショッピングなどの請求書を偽装して不正プログラムを感染させようとするマルウェアスパムの手口は以前から存在しますが、トレンドマイクロではこの 12月8日以降同じ手口のマルウェアスパムが急増していることを確認しました。確認されたマルウェアスパムは、RTF形式の文書ファイルが添付されただけの非常に単純なものです。しかし、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」の統計では、12月8~9日の 2日間で、添付された不正プログラムが国内の 800台以上から検出されています。

(さらに…)

続きを読む
Tags: マルウェアスパムproxy.pacTF形式の文書ファイル


  • 個人のお客さま向けオンラインショップ
  • |
  • 法人のお客さま向け直営ストア
  • |
  • 販売パートナー検索
  • Asia Pacific Region (APAC): Australia / New Zealand, 中国, 日本, 대한민국, 台灣
  • Latin America Region (LAR): Brasil, México
  • North America Region (NABU): United States, Canada
  • Europe, Middle East, & Africa Region (EMEA): France, Deutschland / Österreich / Schweiz, Italia, Россия, España, United Kingdom / Ireland
  • 電子公告
  • ご利用条件
  • プライバシーポリシー
  • Copyright © 2021 Trend Micro Incorporated. All rights reserved.