寄稿: Paul Mangan、Kevin Savage
民主党の大統領候補ヒラリー・クリントン氏が ISIS(イスラム国)のリーダーと金銭を授受している場面の動画を見られるという宣伝をエサ(クリックベイト)にして、サイバー犯罪者が悪質なスパムメールを拡散しています。
図 1. ヒラリー・クリントン氏をクリックベイトにした悪質なスパムメール
メールには「Clinton Deal ISIS Leader caught on Video(クリントン氏と ISIS リーダーとの取引現場の撮影に成功)」などという件名が付いていますが、メールに添付されているのは、動画ではなくマルウェアです。誘い文句に加えて、メール本文には大統領選についての意見があり、存在しない動画クリップを視聴したら「decide on who to vote [for](誰に投票するか決めよう)」とも書かれています。スパムメールの送信元は、「Lets Save America(アメリカを救おう)」という見慣れないグループの名前になっており、#letssaveUSA というハッシュタグも使われています。このハッシュタグの引用は、Twitter で 2013 年には確認されていますが、今回はそれと無関係のようです。
Java RAT の Adwind メールに添付された .zip ファイルには、悪質な Java ファイルが含まれています。実行すると、受信者は Java を標的とするリモートアクセス型のトロイの木馬(RAT)に感染します。シマンテックはこれを Backdoor.Adwind として検出します。マルウェアによって投下される 2 つの Visual Basic Script(VBS)ファイルも確認されており、これには侵入先のコンピュータで動作しているウイルス対策ソフトウェアとファイアウォールソフトウェアを判定する機能があります。
Adwind は、windows8pc.space というコマンド & コントロール(C&C)サーバーに接続して、追加ファイルのダウンロードと実行を試みようとします。このサーバーは、このブログ執筆時点では応答していません。
Adwind RAT は多機能かつクロスプラットフォームであり、Windows、Mac、Linux、Android のどのオペレーティングシステムにも感染できます。
意外ではない拡散状況 予測されるとおり、この悪質なスパムメールの受信者は、85% が米国内のユーザーです。英国、カナダ、メキシコでも少数ながら配信が確認されています。
図 2. 悪質なスパムの拡散状況
米国の大統領選挙は格好のエサに 大きいイベントの大半がそうですが、米国の大統領選も悪質な活動にとって格好のエサになります。選挙日まで 90 日を切りましたが、大統領候補を悪用する悪質なメールについては今後も十分に警戒してください。対象がヒラリー・クリントン氏でも、ドナルド・トランプ氏でも、その点は変わりません。
米国大統領選に関連するニュースを探すときには、信頼できるニュースサイトを利用し、迷惑メールは開かないようにしましょう。
保護対策 Symantec Email Security.cloud をお使いのお客様は、この悪質なスパムメールから保護されています。シマンテック製品とノートン製品は、今回お伝えしたマルウェアを Backdoor.Adwind として検出します。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】