検知回避を目的に巧妙に操作された Word ファイルの拡散 (External+RTF) Posted By Hansoyoung , 2022年 November 10日 MS Office Word ドキュメントの External 外部リンクへの接続が可能な点を利用し、さらなる RTF マルウェアを配布する不正な Word ファイルは、かなり前から持続的に確認されてきた。しかし最近、アンチウイルス製品の検知を回避するためと推定されるファイルが、韓国国内に多数拡散している状況が確認されていることについて報告する。 https://asec.ahnlab.com/jp/22437/ ビジネス目的に偽装した電子メールに…
PDF 内に添付されたファイルを安全なファイルに見せかけるための手法 Posted By Hansoyoung , 2022年 May 25日 ASEC 分析チームは、PDF の添付ファイル(Attachment)機能を利用してインフォスティーラー型のマルウェアが配布されていることを確認した。以前も確認されたことがある攻撃手法だが、最近になってこのようなタイプのマルウェアが再び活発に配布されている状況が確認されたため、ユーザーに注意を促している。注目すべき点としては、攻撃者がユーザーを欺くために、添付ファイル名を活用して単純なトリックを用いている点をあげられる。 Acrobat Reader には PDF ファイル自体に添付ファイルを追加できる機能が存在するが、デフォルトでブラックリストに指定された .bin/.exe/.bat/.chm 等の拡張子を持つファイルは危険要素と認識され、添付することができない。デフォルトでブラックリスト/ホワイトリストに存在しないその他のファイルについては、ユーザーの判断を確認するメッセージボックスが出力されるが、攻撃者はこの点を悪用している。 電子メールに添付された PDF…
韓国の国税庁を騙るメールを通じて Lokibot マルウェアが拡散中 Posted By Hansoyoung , 2021年 December 8日 ASEC 分析チームは最近、ホーム TAX を詐称する不正なメールが出回り続けていることを確認した。メール送信者のアドレスは昨年と同じくホーム TAX に偽装した hometaxadmin@hometax.go[.]kr, hometaxadmin@hometax[.]kr であり、本文内容にも電子税金計算書関連の内容が含まれている。 このタイプのメールは以前から拡散が続いており、昨年の「国税庁「電子税金計算書」を詐称する Lokibot の拡散」の記事で共有した詐称メールの場合は不正なマクロが含まれた…
見積書依頼のフィッシングメールに偽装した Lokibot マルウェア Posted By Hansoyoung , 2021年 May 4日 AhnLab ASEC 分析チームは、見積書依頼の内容に偽装した Lokibot マルウェアが拡散している状況を確認した。Lokibot マルウェアは数年前から継続的に拡散していて、ASEC ブログが提供している週刊マルウェアの統計を確認すると、常に上位に位置していることがわかる。 今回確認された Lokibot マルウェアはフィッシングメール内の添付ファイルを通して配布されており、CAB/LZH を利用した圧縮ファイルを利用している点が特徴である。 メール本文の内容は非常にシンプルだが、関連する業務に携わっている場合、送信者をはじめとする会社名が韓国国内に実際に存在するため、疑うことなく添付ファイルを開く可能性がある。…