世界のセキュリティベンダーのブログから、押さえておきたい話題を紹介する。最初は、多くの利用者がいるクラウドストレージサービス「Dropbox」に関する話題だ。Dropboxを悪用するマルウエアを確認したとして、トレンドマイクロが注意を呼びかけている。
具体的には「UPATRE」と呼ばれるマルウエアだ。UPATREは重要情報を収集する不正プログラム「ZBOT」などのダウンローダーとして知られ、通常は電子メールの添付ファイルを介して拡散する。今回見つかった手口は、スパムメールに含まれるURLを通じてUPATREの亜種をダウンロードさせようとするものだという。
トレンドマイクロが確認したスパムメッセージの1つは、米イーファックスからの通知を装い、メッセージ本文にDropboxのリンクが掲載されてる。リンクをクリックするとDropboxのURLにリダイレクトされ、不正ファイル(トレンドマイクロは「TROJ_UPATRE.YYMV」として検出)をダウンロードさせられる。不正ファイルは起動するとZBOTの亜種(トレンドマイクロは「TSPY_ZBOT.YYMV」として検出)をダウンロードし、ZBOT亜種がルートキット(トレンドマイクロは「RTKT_NECURS.MJYE」として検出)を作成する。NECURSルートキットは、感染システムのセキュリティ機能を無効にする能力を持っている。
スパムメールのサンプル
別のサンプルには、Dropboxのリンクを含む英ナショナルウエストミンスター銀行からの通知を装うものもある。リンク先には取引明細書があると考えられるが、実際にはUPATREマルウエアがホスティングされている。先のサンプルと同様に、UPATRE、ZBOT、NECURSの順で一連の感染を進める。トレンドマイクロの調査によれば、このほか英ロイズ銀行や米インテュイットといった企業の名前も悪用される。Dropboxのリンクをクリックするとカナダの薬剤サイトに誘導されるスパムメールもあるという。
トレンドマイクロは5月23日からこの種のスパム攻撃を追跡し、1週間後には攻撃が増加し始めた。
同様にUPATRE、ZBOT、NECURSの感染コースを辿る攻撃として、トレンドマイクロは4月に税金関連のスパムメールを報告している。UPATREは、2014年1月~5月にスパム経由で拡散したマルウエアのワースト1となっている。
2014年1月~5月におけるスパム経由配信のマルウエアのワースト5
またトレンドマイクロは、Dropboxから不正ファイルをダウンロードする別のスパムメールも確認した。ボイスメールを装い、最終的に「Cryptowall」(トレンドマイクロは「TROJ_CRYPWALL.D」として検出)に感染させる。Cryptowallはランサムウエア「CryptoLocker」の亜種で、匿名通信システム「Tor(The Onion Router)」で接続されたWebサイトを直接開き、お金を払うよう被害ユーザーに要求する。
Dropboxを悪用してCryptoLockerをダウンロードさせるスパムメール