NEWS

ニュース | 最新のニュースをお届けします

情報搾取型マルウェア「Ursnif」感染を狙った多種の日本語メールによる攻撃に注意

この記事をシェア

2017年1月17日から18日にかけて、情報搾取型マルウェア「Ursnif」感染を狙った日本語メールによる「ばらまき型」攻撃が確認されています。このメールの添付ファイルの圧縮ファイル(ZIP形式)には、「SVG形式」のXML構成ファイルが含まれており、圧縮ファイルを展開してからこのファイル開くことで発症します。 このファイルは、Internet Explorerなどのアプリケーションの関連付けされていると、そのアプリケーション通じてXMLコードが読み込まれ、新たなマルウェアをダウンロードさせる「ダウンローダ」であることがわかりました。このダウンローダの特徴は、昨年よりランサムウェア感染を狙って猛威振るった「JS/TrojanDownloader.Nemucod」の特徴を持っています。ESET製品では、このダウンローダに対して「JS/TrojanDownloader.Nemucod.BZN」として検出対応させています。

※ 情報搾取型マルウェアとは、利用者のログイン、パスワードなど情報を盗み取る特徴を持っています。

今回の確認されたメールに添付されたマルウェアの一例(エクスプローラ拡張子非表示の場合)
8.jpg
添付ファイルを開いて、Internet Explorerが立ち上がった直後の模様
9.jpg

この感染を狙ったメールですが、以前に取り上げた「再び「Bebloh」感染を狙ったメールによる大型攻撃キャンペーンを確認」で紹介したメール件名をそのまま利用したものが、いくつかを確認しています。こちらの内容と合わせて読んでいただくと、今回の攻撃は昨年の「Bebloh」感染を狙った攻撃がテンプレートとなり使いまわしているようにも見てとれます。

今回確認されている日本語メールで、件名は「様写真お送りします」「Re: 写真ありがとうございます」「写真 ご送付いただきまして ありがとうございます」「様写真」「写真のみ 不足し」「注文書・注文請書」といった様々な種類のものに、「P(11桁ランダム数字)_(2桁ランダム数字).jpeg.svg」というようなマルウェア実行ファイルをアーカイブしたZIPファイルが添付されています。以下は確認されたメールの一例になります。

メール例① 件名「様写真」
2.jpg
メール例② 件名「注文書・注文請書」
3.jpg
メール例③ 件名「写真 ご送付いただきまして ありがとうございます」
4.jpg
メール例④ 件名「様写真お送りします」
5.jpg
メール例⑤ 件名「Re: 写真ありがとうこざいます」
6.jpg

今回のダウンローダで最も特徴的なのは、SVG形式を用いたという点です。このSVG形式は、XMLフォーマットで書かれたもので、画像形式ファイルの一種として用いられるものですが、ブラウザにも画像の展開処理に利用できることから、今回利用されたものではないかとみています。実際にこのSVG形式ファイルをブラウザで展開すると、次のマルウェアをダウンロードするURLが生成されアクセスが行われます。

また、ダウンローダによって新たなダウンロードされるマルウェア「Win32/Spy.Ursnif」は、ヨーロッパ中心に感染を広げている情報搾取型マルウェアで、昨年下半期に国内で多発した「Win32/Spy.Bebloh」同様に情報搾取を目的とした特徴を持ちます。「Win32/Spy.Ursnif」は、昨年国内でも観測されてきており、今後亜種が増えることが予想されます。

日本での「JS/TrojanDownloader.Nemucod」ファミリーの1/18までの検出状況(2017年1月20日10:00時点)※ESET社「VIRUSRADAR」より
7.jpg

今後も情報搾取を狙った日本語メールによる攻撃が継続されると思われます。引き続きメール対する取扱いに注意してください。また、感染に気付くのが遅れるケースもあります。そのような場合に備え、ログインに必要なパスワードなどは定期的に変更するなどに心がけていただき、リスクを最小限にできるよう対応してください。

なお、このウイルスは、ESET製品にて以下の通り検出されます。


■ 対応しているウイルス定義データベースと検出名
2017年1月18日(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で再定義されました。
ウイルス定義データベースにて、下記の検出名で検出されます。このウイルス自身は2008年から確認されているタイプのものであり、当初より定義されたものではありますが、再定義により検出精度の向上を図っています。

ウイルス定義データベース:147908 (20170118) 以降

JS/TrojanDownloader.Nemucod.BZN トロイの木馬
Win32/Spy.Ursnif トロイの木馬
Win32/Injectorの亜種 トロイの木馬

※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。

※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。

また、クラウドマルウェアプロテクションシステムによるLiveGrid検出では、
  Suspicious File
  Genentik の亜種 トロイの木馬
として検出されます。


■ 常日頃からリスク軽減するための対策について

各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする

ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。

2. OSのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

4. データのバックアップを行っておく

万が一ウイルスに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。 念のため、データのバックアップを行っておいてください。

5. 脅威が存在することを知る

「知らない人」よりも「知っている人」の方がウイルスに感染するリスクは低いと考えられます。ウイルスという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
この記事をシェア

標的型攻撃のセキュリティ対策に

マルウェア情報局の
最新情報をチェック!