「見積依頼の件」という件名の不正な電子メールが企業を対象に多数出回っている。昨年下半期から現在まで続いているこの不正なスパムメール攻撃は、ユーザーのアカウントを奪取する目的で不特定多数の企業に拡散されている。ユーザーの会社メールアカウントを奪取するためにフィッシング Web ページへの接続を誘導または、情報流出型マルウェアである Lokibot 実行ファイルを配布している。電子メールの件名は現在までに「見積依頼の件」または「見積の件(日付)」という形式が確認されている。
以下は、1月26日、報道機関に送信された電子メールである。
電子メールは2つの HTML ページを添付ファイルとして添付している。タイトルのみが異なる同じファイルであり、ブラウザを利用してページを開くと内部に挿入されているスクリプトを通して不正な Web ページのアドレスにリダイレクトする。接続先のアドレスは、ユーザーの電子メールアカウント情報を入力するフィッシング Web ページである。攻撃者は、dynamics.com や appdomain.cloud のようなドメインサービスを利用してユーザーがフィッシング Web ページにアクセスするようにしている。現在は接続不可能である。
「見積依頼の件」という件名で出回っている電子メールは、本文の内容こそすべて類似しているものの、フィッシング Web ページ以外の形式でもマルウェアを配布していた。以下は、昨年12月と今年1月に企業を対象として送信された電子メールである。ユーザーの情報流出マルウェアである Lokibot ファイルを cab ファイルに圧縮して配布したり、添付ファイルを使用せずに、メール本文にフィッシング Web ページにアクセスするリンクを含んでいたりするタイプが確認された。
攻撃者は不正な電子メールの送信元アドレスを任意に変更して送信しており、本文内容の下段には実際に存在する企業情報を署名情報として追加することで内容の信頼性を高めている。電子メールの内容だけでは不正な電子メールかどうかを明確に判断することが難しいため、何よりもユーザーの注意が非常に必要とされる部分である。
AhnLab V3 製品では事前に認知している不正なフィッシング Web ページにユーザーが接続した場合、これをブロックしている。また、電子メールに添付されている不正な実行ファイルの診断している。
[関連IoC]
hxxp://3ed0f0b3374045c6a070fab2ff5b7cb9.svc.dynamics.com/t/r/9GdzKEPlbJOQ7lLvUCw4HVvEfzi6kDuLh-WBcg-1530
hxxp://74979917813600271.eu-gb.cf.appdomain.cloud
c3d7bc074471fec9ba09563d32ea1661
205d61917224948322a8967b297a0b58
Categories:マルウェアの情報