サイバー犯罪者が詐欺を働いたり不正プログラム攻撃を仕掛けたりする場合,よく知られた製品名や人気のブランド名を利用することが多い。ユーザーの警戒心を緩め,巧妙にだますためである。6月上旬にトレンドラボで続けざまに見付けた2種類のスパム攻撃は,その典型例である。今回は,この2種類のスパム攻撃の内容を紹介しよう。

 これらのスパム攻撃では,最もよく知られたアプリケーションの一つであるMicrosoft Office Outlookの「アップデート」を巧みに利用し,ユーザーを特別に仕組まれたフィッシング・サイトや偽セキュリティ・ソフト詐欺関連の不正プログラムへと誘導した。

 最初の攻撃は,「Microsoft Office Outlookの設定を見直す必要がある」とユーザーに通知するフィッシング・メールである。スパム・メールの内容は,メールに記載してあるリンク(URL)をクリックして,オンラインで再設定するようユーザーに促すものだが,クリックすると,ユーザーはフィッシング・サイトに誘導される。そしてこのフィッシング・ページでは,ユーザー名とパスワードのほか,送受信サーバー情報を含むメール・サーバー情報まで入力するよう促された。こうして犯罪者は,罠にはまったユーザーのメール・アカウントを自由に利用できるようになった。

 この攻撃では,特に企業ネットワークを利用するユーザーが危険にさらされた。多くの企業はWindows OSを採用していて,メール・クライアントとしてMicrosoft Outlookを利用していることが多いためだ。

 この数日後,同じ手口を利用した攻撃が確認された。今度は,不正なリンクの代わりに「micr_outlook_update_6556.zip」というZIPファイルを装った不正プログラム(トレンドマイクロの製品では「TROJ_BRANVINE.D」として検出される)が添付されていた。このトロイの木馬型不正プログラムは,別の悪質サイトに勝手に接続し,「TROJ_FAKEAV.BGC」および「TROJ_AGENT.AUBW」として検出される複数の不正ファイルをダウンロード,自動実行するようになっていた。犯罪者の主な目的は,偽セキュリティ・ソフトを正規のセキュリティ製品並みの値段で買わせることである。

 「TROJ_AGENT.AUBW」は,実行されると,感染したコンピュータ上に新しいフォルダを作成し,そのフォルダ内に複数のコンポーネント・ファイルを作成する。同時に,Mutex "_AVIRA_2109" を作成することにより,自身の重複実行を避けるようになっている。その後,不正プログラムはURLにアクセスし,BINファイルをダウンロードする(このURLは2009年7月13日現在,アクセス不能)。

 もう一つの「TROJ_FAKEAV.BGC」は,感染警告をユーザーのコンピュータに表示し,ユーザーの不安感をあおってセキュリティ・ソフトを購入するように促す。これは,最近の偽セキュリティ・ソフト詐欺攻撃の一般的な手口である。「TROJ_FAKEAV.BGC」は,ユーザーの「Application Data and Program Files」フォルダ内に「PCenter」という名称のフォルダを作成し,このフォルダ内にpc.exe,agent.exe,uninstall.exeというコンポーネント・ファイルを作る。同時にデスクトップ上に自身のコピーへのショートカットを作成する。この偽セキュリティ・ソフトにはPrivacy Centerという名称が使われているが,このようなセキュリティ・ソフトらしい名称はユーザーをだます典型的な手口である。

参考情報(英語):
≫TrendLabs Malware Blog,“Phishing Attack Targets Microsoft Outlook Users”,Calaunan,Sarah(June 2,2009)

≫TrendLabs Malware Blog,“Citi Prepaid Phishing Services”,Calaunan,Sarah(May 26,2009)

≫TrendLabs Malware Blog,“Phishing Delivery Services”,Calaunan, Sarah(March 4,2009)

≫CIOL:Making It Your Advantage,“Trend Micro Debuts Its Leak Prevention Solution”,CIOL Bureau(December 3,2007)

≫TrendLabs Malware Blog,“Reconfigure Your Outlook with Malware”,Rosa, Ailene Dela(June 7,2009)

≫Goliath: Business Knowledge on Demand,“The Human Element: The Weakest Link in Information Security”,The Gale Group(November 1,2007)

≫TrendLabs Malware Blog,“Voice-Over-Net-AGE Phished!”,Villarin, Abigail(May 4,2009)

Copyrights (C) 2009 Trend Micro Inc. All rights reserved. 本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。◆このコラムでは,フィリピンのトレンドラボの研究者が,最近のセキュリティ・インシデントについて解説します。記事はすべて新たに書き下ろしたものです。