NEWS

ニュース | 最新のニュースをお届けします

情報搾取型マルウェア「Ursnif」の亜種を使い多種の日本語メールによる攻撃が再開

この記事をシェア

2017年4月3日から6日にかけて、情報搾取型マルウェア「Ursnif」感染を狙った日本語メールによる「ばらまき型」攻撃が確認されています。特に4月6日は集中的に発生しています。これに伴い、この発生している状況については、Twitterアカウント「マルウェア情報局」(@Malwareinfo_JP)からも、数回に渡り注意喚起を実施しました。

この数日間で確認された何らかを装った日本語メールは以下の通りです。

メール例① ヤマト運輸からの商品発送をかたるメール
件名「のご注文ありがとうございます」「ダイレクトメール発注」等
ヤマト運輸からの商品発送をかたるメール
メール例② 佐川急便からの商品発送をかたるメール
件名「Fwd: 商品発送のお知らせ」
佐川急便からの商品発送をかたるメール
メール例③ 本文に【完成図・成績表】と書かれたメール
件名「cango」「doc」「IMG」「transfer」「-」等
本文に【完成図・成績表】と書かれたメール
メール例④ 本文に「電話設備・・・」の確認依頼が書かれたメール
件名「transf.」「bill」等
本文に「電話設備・・・」の確認依頼が書かれたメール
メール例⑤ 本文に「ご確認宜しくお願いします。」と書かれたメール
件名「transfer」「IMG」等
本文に「ご確認宜しくお願いします。」と書かれたメール
メール例⑥ 本文に「私のiPhoneから送信された」と書かれたメール
件名「bill」
本文に「私のiPhoneから送信された」と書かれたメール
メール例⑦ 本文に「キャンセル完了」と書かれたメール
件名「キャンセル完了のお知らせ」
本文に「キャンセル完了」と書かれたメール

弊社マルウェアラボにて確認したメールに添付されたファイルは、大きく分けて2種類あり、添付のマルウェアに対してZIP圧縮を1回して送っているものと、2回圧縮してから送っているものがありました。最近の傾向としてZIP圧縮を2回実施したものを添付して送られるケースも増えてきています。そのため企業内にてゲートウェイ側でメールの添付ファイルの検査を行われている場合は、このようなケースも想定して、多重圧縮ファイルの検査方法も見直す必要があると思います。なお、これらのメールに関してESET製品では、ZIP圧縮から展開される瞬間に「Suspicious Object」として検出対応ができました。

2回圧縮されていた添付ファイルのケース
2回圧縮されていた添付ファイルのケース

最初は、ZIP圧縮ファイルとして見えるが、実際に展開するとさらにZIP圧縮されていることが分かる。これを展開するとマルウェア本体が展開されるが、ここでも二重拡張子を用いてpdfファイルに見せかけようとしている。

今週、この感染を狙ったものですが、いずれもダウンローダとしての役割を持っています。これら共通して特徴をもっていたのは、このマルウェアによってダウンローダとして機能すると、次にダウンロードしようとする本丸となるマルウェアの拡張子が「.bin」であったことが特徴的です。今後の監視を強めるには、「.bin」形式にも注目した方がよいでしょう。

また、4月3日に確認されたケースでは、「.docs」形式で添付されているケースもありました。こちらのケースで見ますと、文書に埋め込まれたオブジェクトのアイコンをクリックすることで、ダウンローダとして機能します。この埋め込まれたオブジェクトはJavaScript形式で書かれており、直接JavaScript形式ファイルに対する検知を逃れるために作られたものとみられます。

「.docx」形式文書に埋め込まれた「ダウンローダ」のオブジェクトが仕掛けられた例
「.docx」形式文書に埋め込まれた「ダウンローダ」のオブジェクトが仕掛けられた例

これらによって、新たなダウンロードを行い、情報搾取を狙うマルウェア「Win32/Spy.Ursnif」は、ヨーロッパ中心に感染を広げている情報搾取型マルウェアで、昨年下半期に国内で多発した「Win32/Spy.Bebloh」同様に情報搾取を目的とした特徴を持ちます。しかし、今回の攻撃を見てみると、攻撃側は「Win32/SpyBebloh」から「Win32/Spy.Ursnif」に切り替えて仕掛けてきたものと推測されます。今後より一層亜種が増えることが予想されますので、これらのメールの取り扱いやファイル形式の変化などに注意した方がよいでしょう。

なお、検出状況としては、4/5付けのみのデータとしては、最も多い数値で31.09%となりました。非常に多くのメール量がばらまかれていたものとみられます。

日本での「Win32/Kryptik.FQPC」の検出状況(2017年4月7日10:00時点)※ESET社「VIRUSRADAR」より※検出名は上記の通りですが、これはヒューリスティック検出による名称で、実際には「Win32/Spy.Ursnif」ファミリーであることが確認されています。
日本での「Win32/Kryptik.FQPC」の検出状況

今後も情報搾取を狙った日本語メールによる攻撃が継続されると思われます。引き続きメール対する取扱いに注意してください。また、感染に気付くのが遅れるケースもあります。そのような場合に備え、ログインに必要なパスワードなどは定期的に変更するなどに心がけていただき、リスクを最小限にできるよう対応してください。

なお、このウイルスは、ESET製品にて以下の通り検出されます。


■ 対応しているウイルス定義データベースと検出名
2017年1月18日(日本時間)に配信されたウイルス定義データベースにて、下記の検出名で再定義されました。 ウイルス定義データベースにて、下記の検出名で検出されます。このウイルス自身は2008年から確認されているタイプのものであり、当初より定義されたものではありますが、再定義により検出精度の向上を図っています。

ウイルス定義データベース:147908 (20170118) 以降

Win32/Spy.Ursnif トロイの木馬
Win32/Injectorの亜種 トロイの木馬
Win32/Kryptikの亜種 トロイの木馬
Win32/GenKryptik の亜種 トロイの木馬
など複数のパターンで検出します。

※ウイルス定義データベースのバージョンが上記のバージョン以降であれば、上記の検出名で検出されます。

※今後、現在確認されているウイルスの亜種が発生する可能性があります。ウイルス定義データベースは常に最新のものをご利用いただきますようお願いいたします。

また、クラウドマルウェアプロテクションシステムによるLiveGrid検出では、
  Suspicious File
  Genentik の亜種 トロイの木馬
として検出されます。


■ 常日頃からリスク軽減するための対策について

各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. ESET製品プログラムのウイルス定義データベースを最新にアップデートする

ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、ウイルス定義データベースを最新にアップデートしてください。

2. OSのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する

ウイルスの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

4. データのバックアップを行っておく

万が一ウイルスに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。 念のため、データのバックアップを行っておいてください。

5. 脅威が存在することを知る

「知らない人」よりも「知っている人」の方がウイルスに感染するリスクは低いと考えられます。ウイルスという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。
この記事をシェア

標的型攻撃のセキュリティ対策に

マルウェア情報局の
最新情報をチェック!