トレンドマイクロでは2021年上半期(1~6月)において、二重恐喝の手口を用いて標的組織に被害をもたらすなど、新たな手口を取り入れたランサムウェア攻撃が依然として活発で高度化していたことを確認しました。従来のランサムウェア戦略とは異なり、新型ランサムウェアのオペレータは「暴露型」の手口として、感染端末から窃取したプライベートデータを人質として利用し被害者に圧力をかけ、身代金が支払われない場合は盗み出した重要情報をリークサイト上で暴露すると脅します。トレンドマイクロは2021年に入ってからこれらの脅威と旧来のランサムウェアファミリを追跡調査した結果、どの攻撃活動の勢いが増し、どのファミリが法人組織や個人ユーザにとって特に危険であるかを突き止めました。
続きを読むメールを主な感染経路とするマルウェア「EMOTET」の被害が、日本国内で拡大しています。EMOTETは2014年から存在が確認されているマルウェアですが、明確に国内利用者を狙ったと言える攻撃は確認されていませんでした。しかし2019年に入り、日本も本格的な攻撃対象に入ってきたものと考えられます。実際、6月には東京都の医療関連組織におけるEMOTET感染による情報流出被害が公表されるなど、被害が表面化してきていました。海外では一時、EMOTETのボットネットのC&Cサーバが休止していたことが観測されていましたが、8月末に活動を再開したことが確認されました。トレンドマイクロでは、国内にEMOTETを拡散するメールの活発化を9月後半から確認しており、10月には検出台数の急激な増加を確認しています。JPCERT/CCも11月27日付で注意喚起を出しており、広範囲に被害が広まっているものと言えます。
図1:国内でのEMOTET検出台数推移
トレンドマイクロは、マクロを含むWord文書が添付されたスパムメールがオンライン銀行詐欺ツール(バンキングトロジャン)「Trickbot」の新しい亜種(「TrojanSpy.Win32.TRICKBOT.TIGOCDC」として検出)を拡散していることを確認しました。この文書ファイルをクリックすると、ペイロードとしてTrickbotをダウンロードする重度に難読化されたJavaScriptファイルが作成されます。このスクリプトは感染PCで実行中のプロセス数をチェックし、少ない場合、仮想環境で実行されていると判断して活動を停止します。
このスクリプトは、情報窃取機能に加え、外付けディスクおよびネットワークディスク内の特定の拡張子を持つファイルを削除し、自身のコピーに置き換える機能を備えています。トレンドマイクロのデータによると、今回の活動は米国で最も多く確認されています。問題のスパムメールは、中国、カナダ、そしてインドでも拡散されていました。
■感染の流れ
図1は今回確認されたTrickbotの感染の流れです。
(さらに…)
トレンドマイクロは、スパムメールに記載されたリダイレクトURLを利用して拡散するバンキングトロジャン「Trickbot」の亜種(「TrojanSpy.Win32.TRICKBOT.THDEAI」として検出)を確認しました。この亜種は、「url?q=<不正なURL>」のようなクエリ文字列(URLパラメータ)を利用してユーザを不正なURLにリダイレクトします。そして、この特定の事例では、「hxxps://google[.]dm:443/url?q=<TrickbotのダウンロードURL>」のようにリダイレクト元のURLとしてGoogleが利用されました。正規URLからリダイレクトするこの手口は実際にスパムメールが届いた際、Trickbotをブロックする可能性のあるスパムフィルタを回避することに役立ちます。
(さらに…)
トレンドマイクロは、2019年1月、「pwgrab」モジュールの追加によりリモートデスクトップアプリの認証情報を窃取する機能を備えた「Trickbot」の新しい亜種(「TrojanSpy.Win32.TRICKBOT.AZ」および「Trojan.Win32.MERETAM.AD」として検出)を確認しました。対象となるリモートデスクトップアプリは、「Virtual Network Computing(VNC)」、「PuTTY」、「Remote Desktop Protocol(RDP)」です。
Trickbotは元はシンプルなバンキングトロジャンでしたが、モジュールの追加により新しい機能を追加することで変化を続けてきたマルウェアです。最近では、2018年11月に、さまざまなアプリケーションやブラウザからパスワードを窃取する亜種が確認されています。
続きを読むトレンドマイクロは、「TrickBot」が、「販売時点情報管理(Point of Sales、POS)」システムを狙う新しいモジュールを追加したことを確認しました。TrickBotは元はシンプルなオンライン銀行詐欺ツール(バンキングトロジャン)でしたが、モジュールの追加によりさまざまな機能を追加してきたマルウェアです。最近では、2018年11月に、パスワード窃取モジュール「pwgrab32」が追加されたことを報告しました。本記事では、今回新たに確認されたPOSシステムを狙うモジュールについて解説します。この新モジュールは、感染PCが接続されたネットワークをスキャンし、POSに関連したサービスや機器を検索します。
続きを読む