Email Security.cloud

シマンテックは、ブラジルに拠点を置く会社を中心に、ポルトガル語でコンピュータを使う企業を標的にしたスパム活動が続いていることを確認しました。この活動の背後に潜む攻撃者は、メールアカウントへのアクセス権を取得し、最終的には重要な情報を盗み出そうとしているようです。 

この活動に関連するメールは、これまでに 4 万件以上も確認されており、主にブラジルの中小規模企業に影響することがわかっています。攻撃者は、ポルトガル語を使うコンピュータに標的を限定しているようですが、著名な企業に対する攻撃は、少数ながらブラジル以外でも確認されています。特に多いのが、世界各地のポルトガル語使用地域に関連企業や支社を展開している企業です。

図 1. 1 月 13 日から 20 日の間に攻撃者が送信したスパムメールの件数

スパムメールは、単純ですが効果的です。今回のメールも、本文は金銭をネタにしたありきたりの内容で、受信したユーザーの銀行口座に資金が送金されたと信じ込ませようとします。

攻撃の仕組み
スパムメールは、領収書と称する添付ファイルを開かせようとします。シマンテックの最新の分析によると、攻撃者はメールにおけるソーシャルエンジニアリングの手口を少しずつ変えているようです。現在は、「Emissão de nota Fiscal（請求書を発行しました）[ランダムな数字]」という件名のメールを使っています。

図 2. 領収書に偽装した悪質なファイルが添付された、ポルトガル語のメールのサンプル

言うまでもなく、このメールの添付ファイルは実際には悪質な .vbs です。シマンテックの .Cloud メールソリューションでは Trojan.Gen として検出され、シマンテックとノートンのウイルス対策では VBS.Downloader.Trojan として検出されます。

添付されている .vbs ファイルは、コマンド & コントロール（C&C）サーバーから、侵入したコンピュータに悪質なファイルをダウンロードします。最終的なペイロードのダウンロードに使われる URL の例を以下に示します（[数字] の部分は 0 から 500 までの任意の数字です）。

• http://sfgHwttisgg.guildx200[数字].changeip.net/02/[悪質なファイル名]
• http://sfghtidcnuf.guildx200[数字].changeip.net/01/[悪質なファイル名]
• http://sfghupwtkta.guildx200[数字].changeip.net/01/[悪質なファイル名]
• http://sfghyojuotuk.guildx200[数字].changeip.net/01/[悪質なファイル名]

.vbs でダウンロードされるファイルは、以下のとおりです。

• Nirsoft 社のメールパスワードリカバリツール（xmda.jpg.zip）（PasswordRevealer）
• Nirsoft 社のブラウザパスワードリカバリツール（xmdb.jpg.zip）（PasswordRevealer）
• Infostealer（guildj.gif.zip）（Trojan.Guildma）
• 悪質な .dll（koringaj.gif.zip）（Trojan.Guildma）

悪質な .dll によって svchost.exe が実行され、そこにコードがインジェクトされます。次に .dll は、「guildmaxx-OK」というタイトルのウィンドウが見つかるまで、Infostealer から読み取りを実行します。

.dll はさらに、ゴーサインを出して、Infostealer の実行を許可します。Infostealer が動作するのは、侵入先のコンピュータのシステムロケールがポルトガル語に設定されている場合だけです。起動した Infostealer は、システム情報を C&C サーバーに返し、次のコマンドを待ちます。PasswordRevealer として検出されるファイルを使って収集したメールまたはブラウザのパスワードが、このコマンドによって要求される可能性があります。

図 3. マルウェアの感染チェーン

セキュリティの要
攻撃者がメールアカウントを標的にするのは、なぜでしょうか。メールには、たくさんの情報が含まれており、それを利用すれば、企業の内外を問わずさまざまなサービスを利用できる可能性があるからです。今回見つかった攻撃でも、攻撃者は従業員のアカウントにアクセスし、そこから社内のサービスや重要な情報、たとえば財務データやソースコード、従業員情報、連絡先などにアクセスできます。さらには、盗み出した情報を、次のスパム攻撃や標的型攻撃に利用するかもしれません。

対処方法
今回のスパマーは、攻撃に初歩的なソーシャルエンジニアリングの手口を使っているので、コンピュータへの侵入を防ぐために、以下のベストプラクティスを守ってください。

• 疑わしいメールの添付ファイルは開かず、リンクもクリックしない。
• 電子メールに返信するときに個人情報を記述しない。
• ポップアップの Web ページに個人情報を入力しない。
• セキュリティソフトウェアを最新の状態に保つ。
• メールが本物かどうか疑わしい場合には、社内の IT 部門に相談するか、こちらのポータルを通じて、そのメールをシマンテックセキュリティレスポンスまでお送りください。

保護対策
Symantec.cloud によるメールの遮断、Web ゲートウェイセキュリティ、エンドポイントセキュリティなどの万全な保護対策を講じれば、以上の攻撃は防ぐことができます。フィッシングによる侵入に対する備えには、Symantec Phishing Readiness ソリューションも効果的です。

シマンテックとノートンの製品をお使いであれば、今回お伝えしたようなマルウェアからは、以下の検出定義で保護されています。

Skeptic（.Cloud protection）

• Trojan.Gen

ウイルス対策

• VBS.Downloader.Trojan
• Trojan.Guildma
• PasswordRevealer

侵入防止システム:

• System Infected: Trojan.Backdoor Activity 142

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】