Symantec Security Response Weblog |
February 27,2009 Posted by Andy Cianciotto
過去2日(ブログ投稿は2月27日)にわたり,米シマンテックのセキュリティ・レスポンスでは,ワーム「W32.Ackantta.B@mm」に続き,トロイの木馬「For Love or Money -- Social Engineering by W32.Ackantta.B@mm」の検出数が増加した。
W32.Ackantta.B@mmはメールを大量配信するワームで,乗っ取ったパソコン内でメール・アドレスを集め,リムーバブル・ドライブや共有フォルダに自らをコピーして感染を広げる。Trojan.Vundoは通常,スパム・メールに記載されたWebサイトのリンクをクリックするとインストールされる。ただし我々はW32.Ackantta.B@mmがTrojan.Vundo用dllファイル「Trojan.Vundo dll」の入ったzip圧縮ファイルをメールで配信している事例を見付けた。
このワームを受信すると,以下に示す「雪だるま」アイコンのファイル「postcard.pdf.exe」となることがある。
アイコンをクリックしてワームを実行すると,以下の画像のように,アニメの動物たちが表示される。
攻撃者は現在の世界的な不況に乗じて,ソーシャル・エンジニアリング攻撃をユーザーに仕掛け,電子メールに添付された悪質なファイルを開くようそそのかす。当社がこれまで確認した件名には,以下のようなものがあった。
Job offer from Coca Cola!(米コカ・コーラからのお仕事の紹介)
Thank you for your application(ご応募ありがとうございます)
さらに攻撃者たちは,常とう手段である電子カード送付を装った件名を使い,受信者の友情に付け入ろうとする。例えば,以下のような件名だ。
You have got a new E-Card from your friend!(友人から電子カードが届いています)
You have received A Hallmark E-Card!(米ホールマークの電子カードが届いています)
具体的に,我々がこれまで確認した添付ファイルを挙げておく。ソーシャル・エンジニアリング攻撃では当たり前のことだが,これら添付ファイルの内容は変更される可能性がある。
copy of your CV.zip
e-card.zip
job-application-form.zip
postcard.zip
攻撃が活発化しているため,当社では数百種類に及ぶTrojan.Vundo亜種を検出/ブロックする,より強力なヒューリスティック・データをリリースした。さらに,Trojan.Vundoのリスク・レベルを1から2に引き上げた。
当社に送られてきたファイルに関するデータを見ると,この攻撃のピークは既に過ぎ,当社への関連ファイル提出件数は下がってきているようだ。今後も気を緩めることなく,なりゆきを見守っていくつもりである。最新情報に注意してほしい。
注記:当記事の脅威および情報を調査してくれたAngela Thigpen氏に感謝の意を示す。
追記:過去のブログ投稿記事「求職者に狙いを定めたスパム攻撃」(英文)にもう一度目を通してほしい。最近のスパム・キャンペーンは,上記の記事で述べたTrojan.Vundoなど,悪意のあるコード・サンプルを含めた圧縮ファイルを送付してくる。これらの記事で取り上げているのは,悪意のあるプログラムをダウンロード,あるいは開くようターゲットに促す,従来のソーシャル・エンジニアリング手法を取り入れた脅威だ。
Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「For Love or Money -- Social Engineering by W32.Ackantta.B@mm」でお読みいただけます。