最近 ASEC 分析チームでは製品の見積依頼を要請する内容のフィッシングメールをモニタリングしている。このフィッシングメールは共通して製造業者や鉄工所のチーム長、部長のような高い地位の管理者が送ったかのように見せかけている。また、添付ファイルは .html と .htm であった。この記事では代表的な2つの見積依頼に偽装したフィッシングメールについての情報を紹介する。便宜上、1番のフィッシングメール、2番のフィッシングメールと命名して記事を作成している。
[図1] 拡散中の1番のフィッシングメール
[図2] 添付ファイル .html
1番のフィッシングメールの .html 添付ファイルを開くと、アカウントログインを要求する画面が確認できる。製品についての見積依頼を要請する内容であるかのように「orders」という内容のシートを見せている。
[図3] アカウントログイン後
アカウントログインを試みると、Google ドキュメントの画像をトンネリングすることが分かる。2番のフィッシングメールの内容は以下の通りである。
[図4] 拡散中の2番のフィッシングメール
拡散中の2番のフィッシングメールも同じく、添付ファイルに .htm ファイルがある製品見積を依頼する内容を含んでいる。
[図5] 添付ファイルのアカウントログイン画面
.htm 添付ファイルを開くと、[図5]のように電子メールでログインする画面が表示される。拡散中の製品見積依頼に偽装したフィッシングメールの場合、共有して添付ファイルでアカウントのログインを要求している。履歴書、購入発注書、今回のような見積依頼などに偽装したフィッシングメールが絶え間なく拡散しており、ユーザーはこのようなフィッシングメールの閲覧は注意する必要がある。
[ファイル検知]
- Phishing/HTML.Agent
- Phishing/HTML.Generic
[IOC 情報]
- フィッシングメール1の添付ファイル: 51E6BCFBB2B6F5E6563F051E095ACCBE
- フィッシングメール2の添付ファイル: 77128F8261C73FAF4FD62EC65B31821D
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。
Categories:マルウェアの情報