見積りや発注書のメールに注意

2021年の開始とともに、各企業が事業を本格的に開始した中で、事業に関連する内容に偽装した不正な電子メールが相次いで発見されており、注意を求めている。発見された攻撃は「見積依頼」、「発注書」などの業務に関する内容に偽装したメールに不正なファイルを添付する方式であり、添付ファイルを開くとアカウント情報を要求するフィッシングサイトへ接続、または情報を奪取するマルウェアに感染する。 AhnLab ASEC は、今年1~2月の間に「見積依頼」、「発注書」などに偽装した電子メールで、ユーザーの情報奪取を試みる事例を多数発見した。電子メールの本文には比較的に自然な韓国語で「添付ファイルを確認してください。」という内容が記載され、ユーザーの添付ファイル実行を誘導していた。また、攻撃者は疑いを避けるため本文に特定の職員を詐称し、メールの署名を作成することもあった。以下は、発見された攻撃事例2件の内容をまとめたものである。 1.見積依頼に偽装した不正なメール まず、今年の1月には「견적의뢰 건(翻訳:見積依頼の件)」という件名の不正な電子メールが発見された。本文には「発注書を送付いたしますので、ご参考の上製品の納期をお願いします。」という内容が書かれていた。攻撃者は、このメールに「Purchase order.html」および「Request for PO.html」という2つの不正な HTML ファイルを添付した。…

「2021年 国防部業務報告修正」文書に偽装したマルウェアの拡散

1月24日、AhnLab ASEC では「2021年 国防部業務報告修正」という文書に見せかけてマルウェアが共に配布されている状況を確認した。このマルウェアの拡張子は以下のように *.pif で作成されて配布されているが、実際のファイルは EXE 拡張子のような実行可能なファイルである。ファイルを開くと以下の [図1] のように、現在国防部のホームページで提供されている正常な PDF ドキュメントの内容と同じファイルがユーザーに表示される。しかし、正常な…

企業をターゲットにした電子メールに注意

「見積依頼の件」という件名の不正な電子メールが企業を対象に多数出回っている。昨年下半期から現在まで続いているこの不正なスパムメール攻撃は、ユーザーのアカウントを奪取する目的で不特定多数の企業に拡散されている。ユーザーの会社メールアカウントを奪取するためにフィッシング Web ページへの接続を誘導または、情報流出型マルウェアである Lokibot 実行ファイルを配布している。電子メールの件名は現在までに「見積依頼の件」または「見積の件(日付)」という形式が確認されている。 以下は、1月26日、報道機関に送信された電子メールである。 電子メールは2つの HTML ページを添付ファイルとして添付している。タイトルのみが異なる同じファイルであり、ブラウザを利用してページを開くと内部に挿入されているスクリプトを通して不正な Web ページのアドレスにリダイレクトする。接続先のアドレスは、ユーザーの電子メールアカウント情報を入力するフィッシング Web…