ASEC(AhnLab SEcurity intelligence Center)は、毎週ブログを通じて週間および四半期フィッシングメール統計レポートを公開しており、偽のログイン、配送、発注伺書に関するタイプがその大半を占めている。しかし、最近韓国の大手芸能事務所を装ったフィッシングメールが韓国国内で出回っていることを確認した。攻撃者は、Facebook および Instagram の広告で自身の画像を無断で使用したため、措置を講じる必要があるとの内容に偽装しており、どのような画像を無断使用したのかを確認するためにハイパーリンクをクリックするよう誘導する。
リンクをクリックすると、Python ベースの Infostealer を作成し、PDF に偽装するためにアイコンを PDF に変更して、ファイル名に大量のスペースを挿入することでアプリケーションプログラム(EXE)拡張子を隠蔽した。以下の画像のようにスペースを大量に追加すると、ファイルを一度クリックしない限り「…」によって省略される。攻撃者はこれを狙い、省略される直前の箇所に「.pdf」を置くことで本物の PDF ファイルであるかのようにユーザーを欺く意図がある。
ファイルを開くと、著作権侵害に関する内容とは無関係の一般 PDF ドキュメントが表示され、システム情報およびブラウザデータ情報、メッセンジャー情報、画面キャプチャ、Steam 情報などを収集して攻撃者の Telegram チャットルームに転送する。
このように、出どころが不明なメールの閲覧と添付ファイルの取り扱いの際は特に注意が必要で、添付ファイルをダウンロードしてしまった場合は、不明なファイルを開かないようにするべきである。また、以下の画像のようにファイルの拡張子を常に表示するよう設定しておき、添付されたファイルが EXE 拡張子の場合は疑う必要がある。
IOC 関連情報
MD5
0d2932a7418de348350ef0ac8e8ad3f6
3ce49df50854f9c1d4b4ac322c06868a
d6fea1f619099542c84122dd44f35559
関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム 「AhnLab TIP」 サブスクリプションサービスを通して確認できる。
Categories: マルウェア, フィッシング/スキャム, Public