最近、マルウェア配布に多く利用されている方法のうち、かなりの割合を占めるものがフィッシングメールである。ASEC 分析チームでは、過去にも複数のブログを通じて特定のフィッシング攻撃だけでなく、フィッシングメールのタイプについても整理してきた履歴がある。
https://asec.ahnlab.com/jp/27135/
今回もそれらと同様、ユーザーのダウム(Daum)アカウント情報の流出を目的とするフィッシングメールが確認された。このメールは、以下の[図1]のように特定の大学を受信者、または送信者に設定して配布していることから、特定ターゲットのアカウント情報を収集する目的で作成されたものと推定される。
発注書に関する内容確認メールに偽装し、添付された HTML を実行してユーザーがダウム(Daum)アカウントの情報を入力するように誘導する。以下の左側画面が添付された HTML スクリプトを実行すると確認できるページである。右側の正常なログイン画面と比較すると明らかな違いがあるが、何の疑いもなくスクリプトを実行してしまうと、正常なページと勘違いしやすい。
ユーザー ID とパスワードを入力してログインボタンをクリックすると、ユーザー情報は特定のアドレスに流出され、流出した ID とパスワードは以下のように攻撃者が構築しておいたサーバーに接続し、国および接続時間情報と共に保存される。
- 情報流出 URL : hxxps://bo***ken**[.]com/start/startup/setup/dkuboinsd.php
- 収集された情報のアップロード URL : hxxps://bo***ken**[.]com/start/startup/setup/name.txt
このように、ユーザーは送信者が疑わしくない場合でも、不明なメールに添付されたファイル、あるいは内部の URL に接続する際は、格段の注意が必要である。また、V3 を最新バージョンにアップデートしてマルウェアへの感染を事前に遮断できるように注意を払わなければならない。当社製品では、本文で述べたスクリプトファイルを以下のように検知している。
[ファイル検知]
- Phishing/HTML.Generic
[IOC]
- f1cd69021bac49587770fd487bb723fb
- hxxps://bo***ken**[.]com/start/startup/setup/dkuboinsd.php
- hxxps://bo***ken**[.]com/start/startup/setup/name.txt
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報