注意喚起:悪意あるWordファイルが添付された日本語メールについて

2015年10月27日

本物の業務連絡に見せかけ、マルウェアを送りつけるメールは珍しくありません。つい先日、当社にもそのような日本語のメールが立て続けに届きました。

signal_red

興味深いのは、日本に実際に存在する企業名や実在する企業名に類似した団体名がメールの送信元として使われていたことです。もちろん、名前を騙られた企業は一切無関係だったため、当該企業のWebサイトのトップページに注意喚起が掲載されています。

メールのヘッダー情報では、アラブ首長国連邦、メキシコ、カメルーン、フィリピン、ブルガリア、クウェート、サウジアラビア、インドネシア、ベトナム、フランス、ボリビア、トルコなどのサーバーを使ってメールが送信されたことがわかっています。

悪意あるメール-図1

図1. 実際の企業になりすまして送付されたマルウェア添付メール 1

悪意あるメール-図2

図2. 実際の企業になりすまして送付されたマルウェア添付メール 2

悪意あるメール-図3

図3. 実際の企業に類似した社名を騙り送付されたマルウェア入り添付メール

以下はメールに添付されていたWordのファイル名の例です。

  • 10280.doc
  • 2610-099189.doc
  • 2F4A8C1B-9DB6-4749-AA9C-9ED67A419132-574-IF.doc

WordファイルのMD5の例:

  • 14e859f0048314a705222a13ead89660
  • 1a6113bb0a9757a8c6abfc7a2ebb886b
  • 7a94e32ff340306132920d654057e7c0

Wordに組み込まれたマクロのモジュールには難読化されたURLがあり、マクロを実行するとそのURLから悪意のあるファイルをダウンロードします。

悪意あるメール-図4

図4. 難読化されたURL

以下は悪意のあるファイルをダウンロードするURLの例です。

  • copie-****-2.com/~cn2/76436/d243ty.exe
  • evolvebuild****roup.com/~guest/76436/d243ty.exe
  • xn--y****-uua.no/76436/d243ty.exe

テスト環境で添付されたWordを開き、マクロを実行すると、ユーザーの「%temp%」フォルダに悪意のあるファイルがダウンロードされました。

悪意あるメール-図5

図5. %temp%にダウンロードされたマルウェア

解析時のテスト環境でダウンロードされたマルウェアのMD5の例:
C0C8178B7EF2A8C067C68A7FB7DC7ECD

 

多くの人は「不審なメールや添付ファイルを開いてはいけない」ことを知っています。しかし、今回のように実際の企業名を騙られたり、日本語の文面が自然であったりすると、いざ自分が受け取ったとき、うっかり開いてしまうかもしれません。セキュリティに対して日ごろから意識すること、またシステムを更新し常に最新の状態に保つことが対応策となります。もちろん、セキュリティ製品を導入し、アップデートすることも必要です!

カスペルスキー製品では、これらのWordファイルと、マクロが実行された際にダウンロードされる悪意のあるファイルを、以下の検知名で検知してブロックします。

  • Trojan-Downloader.VBS.Agent.avv
  • Trojan-Downloader.VBS.Agent.avu
  • Trojan.Win32.Yakes.mzkj

また、悪意のあるファイルをダウンロードするURLは当社のThreat Data Feedにも登録済みであり、当社法人向けインテリジェンスサービスをご利用のお客様にご提供しています。