NEWS

ニュース | 最新のニュースをお届けします

日本郵政等かたる不審メールに添付されたファイルは不正送金を狙ったマルウェア

この記事をシェア

概要
2016年2月14日から2月17日と2月20日から2月21日にかけて、メールを利用した「ばらまき型」攻撃による「日本郵政」かたる不審メールがありました。日本郵政もこの事態を受けホームページなどで注意喚起が行われていますのでご存知の方もいらっしゃるかと思います。弊社では、その後の調査を続けたところ2月23日から2月24日にかけても同様の攻撃キャンペーンを確認いたしました。今回の攻撃キャンペーンは一時的なものではなく、継続的にマルウェアの亜種を準備して行われていますので、今後も注意が必要です。

以下は、この一週間で確認された不審メールの一部をスクリーンショットしたものになります。

2月20日に確認された不審メール
2月20日のものでは、本文に記載された郵便番号を複数書き換えたものなどが確認されている。
2月24日に確認された不審メール
2月24日のものでは、本文のみで署名がないものが確認されている。

この不審メールに添付されたマルウェアですが、添付を展開するとスクリーンセイバー形式(SCR形式)で実行する不正プログラムが含まれています。このプログラムはWin32/ProxyChangerと呼ばれるもので、発症するとバンキングトロージャン「Rovnix」をダウンロードし、ボットとして潜伏します。このバンキングトロージャン「Rovnix」は過去に解説した「Papras」のふるまいと同様にMITB攻撃型のマルウェアであり、ユーザーが入力した情報を窃取し不正送金をもたらすものと見られます。なお、いずれの攻撃キャンペーンも過去と同じ方法でロシアのサービス会社が提供するフリーメールを悪用し、不審メールが大量にばらまかれていました。

ESET製品の対応と検知状況 (詳細は こちら
すでにESET製品では、今回の攻撃キャンペーンもESET LiveGrid機能が持つクラウドマルウェアプロテクションシステム(CMPS)により、従来のアップデート以外でもリアルタイムに検知する対応も行っております。また、従来のアップデート対応もウイルス定義データベース バージョン 13078(20160224)以降で検知および駆除対応しております。なお、ESET VIRUSRADARでの直近1週間(2月16日から2月23日まで)の検知状況は以下のグラフの通りであり、継続的に攻撃が発生していることは統計的にも確認することができます。

日本のWin32/ProxyChangerの直近1週間の検出状況(2016年2月24日23:00時点)

 

不審メールから感染への流れ
今回ばらまかれた不審メールに含まれていた「Win32/ProxyChanger.TZ」タイプには、発症すると一時フォルダに伝票画像が展開され、以下の表示をします。この表示が行われるのと並行してバンキングトロージャン「Rovnix」がダウンロードされます。これは、ユーザーにこの画像に注目させる隙を狙った細工であると想像されます。しかし、弊社にて解析した亜種の中には、攻撃者のプログラミングミスと思われる現象もあり、画像表示ができずにエラーメッセージが出力されるものもありました。ただし、いずれも「Rovnix」が裏でダウンロードされていることには変わりません。

発症後に表示される伝票画像

発症後に伝票表示できずに出力されたエラーメッセージ
※2/23の不審メールの添付ファイルから確認されたケース

 

なお、もう一つの特徴としてルート証明書が自動でインストールされます。これは、「Rovnix」のダウンロード先がHTTPSで行われていることから、この処理が行われています。

ルート証明書インストール時の表示画面
この画面は一瞬だけ表示され、ユーザーが操作する間もなく「はい」が自動クリックされる。
ルート証明書がインストールされた状態
インストールされたルート証明書は、実際の証明書のリストに確認ができる。

この後は、「Rovnix」がボットとして潜伏した状態となり、ブラウザ等により特定サイトへのアクセスなど条件に活動が行われるようになります。

この潜伏までの一連の手法は、2015年12月以降、日本を標的とした様々な不審メールで確認されています。これらのメールは同じく不正送金を狙ったバンキングトロージャン「Rovnix」感染を目的とされています。

2015年12月14日に確認された不審メール
(JAPAN POST ジャパンかたるメール)
2015年12月14日のものでは、日本郵政ではなくJAPAN POSTジャパンで記載さていたもの。郵便番号は変数で差し込もうとして失敗し、そのまま変数が差し込まれていた。
2015年12月10日に確認された不審メール
(DHLジャパンかたるメール)
2015年12月10日のものでは、DHLジャパンをかたり同様の手口が行われていた。

今後も亜種によるメールの攻撃が継続されると思われますので、メールの取り扱いにご注意ください。

なお、このウイルスは、ESET製品にて以下の通り検出されます。


■ 対応しているウイルス定義データベースと検出名
2016年2月24日(日本時間)までに配信されたウイルス定義データベースにて、下記の検出名で検出されます。

ウイルス定義データベース:13078 (20160224)

Win32/ProxyChanger トロイの木馬
Win32/ProxyChanger の亜種 トロイの木馬
Win32/Rovnix トロイの木馬
Win32/Rovnix の亜種 トロイの木馬
Win32/Kriptik トロイの木馬
Win32/Kriptik の亜種 トロイの木馬
Win32/Fareit トロイの木馬
Win32/Fareit の亜種 トロイの木馬

※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。

※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。

また、クラウドマルウェアプロテクションシステムによるLiveGrid検出では、
  Genentik の亜種 トロイの木馬
として検出されます。


■ 常日頃からリスク軽減するための対策について

各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする

ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。

2. OSのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

4. データのバックアップを行っておく

万が一ウイルスに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。 念のため、データのバックアップを行っておいてください。

5. 脅威が存在することを知る

「知らない人」よりも「知っている人」の方がウイルスに感染するリスクは低いと考えられます。ウイルスという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
この記事をシェア

フィッシングメールのセキュリティ対策に

マルウェア情報局の
最新情報をチェック!