韓国の国税庁を騙るメールを通じて Lokibot マルウェアが拡散中

ASEC 分析チームは最近、ホーム TAX を詐称する不正なメールが出回り続けていることを確認した。メール送信者のアドレスは昨年と同じくホーム TAX に偽装した hometaxadmin@hometax.go[.]kr, hometaxadmin@hometax[.]kr であり、本文内容にも電子税金計算書関連の内容が含まれている。

図1.拡散しているメール1
図2.拡散しているメール2

このタイプのメールは以前から拡散が続いており、昨年の「国税庁「電子税金計算書」を詐称する Lokibot の拡散」の記事で共有した詐称メールの場合は不正なマクロが含まれた PPT ファイルが添付されていたが、最近では不正な実行ファイルを圧縮した形式で出回っている。

メールに添付された圧縮ファイルの内部には以下のように実行ファイルが存在する。ファイル名に、メール本文が作成された発行日と同じ日付を含んだ形で構成されている。

図3.メールに添付された圧縮ファイル
図4.圧縮ファイル内部に存在する exe ファイル

これらの添付ファイルはすべて Lokibot マルウェアである。ただし、各ファイルは Visual Basic と NSIS 形式であり、攻撃者が様々な形でマルウェアを製作しているものと思われる。ファイルを実行すると Web ブラウザ、メールクライアント、FTP クライアント等のプログラムに関する情報を hxxp://63.250.34[.]171/tickets.php へ送信する。

このように、国税庁を騙ったマルウェアの配布は以前から持続的に行われており、ユーザーの格別の注意が要求される。特に、送信者のアドレスが実際の国税庁のページに存在するアドレスと類似しているため、ユーザーがフィッシングメールであると認識するのが困難である。メールに添付されたファイルをすぐに開かないようにし、アンチウイルスプログラム等によるチェックが必要である。

[V3 検知]

  • Trojan/Win.VBKrypt.R454818
  • Malware/Win.Generic.C4802414

[関連 IOC 情報]

  • e779a8be256d298c6d96884724d7792b
  • 9ff3b37069e0772af03732b022c02789
  • hxxp://63.250.34.171/tickets.php

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

Categories:マルウェアの情報

Tagged as:,

0 0 votes
評価する
guest

0 コメント
Inline Feedbacks
View all comments