QBotの新たなキャンペーン ビジネスメール乗っ取り

企業間メールを乗っ取りQbotマルウェアを拡散する新たな攻撃キャンペーンを確認しました。

4月初旬、カスペルスキーの専門家は、企業用電子メールを介して、バンキング型トロイの木馬QBotマルウェア(別名QakBot, QuackBotまたはPinkslipbot)を拡散する大規模キャンペーンを確認しました。このキャンペーンでは、悪意のあるPDFドキュメントが使われています。これまでに英語、ドイツ語、イタリア語そしてフランス語のものが確認されていおり、主にヨーロッパや北アフリカの国が標的になっています。目的は、被害者がその添付ファイルを開き、QBotマルウェアダウンロードさせ、パソコンを感染させることです。当社の専門家は、約1年前にも、QBotなどマルウェアを配信する電子メールが急増しているのを確認していました。

QBot フィッシング メールの例(イタリア語)

被害者の視点から見た攻撃の特徴

攻撃は「会話の乗っ取り」戦術に基づいています。ハッカーは、企業間の既存のメールのやり取りを乗っ取り、本物のビジネス文書にアクセスします。犯罪者が使用するQBotは、ローカルのフォルダーに保存されたユーザーのメールを盗むために使われます。そのため、会話に途中から侵入してもあたかもそれ以前から会話に参加していたかのように振る舞い、メールを送信し始めます。彼らの目的は、前述のように、被害者が悪意のある添付ファイルを開き、QBotをダウンロードすることです。そのため、経費に関する内容や、迅速な対応を依頼し相手を急かすような内容のメールを作成して、送り付けています。

実際、PDFにはMicrosoft Office 365またはMicrosoft Azureを装った偽の通知が含まれています。この通知は、被害者に「開く」ボタンをクリックさせるデザインで、被害者がクリックすると、パスワード(メールに記載)で保護されたアーカイブがパソコンにダウンロードされる仕組みになっています。そして被害者は、アーカイブを解凍し、内部の.wsf (Windows Script File) 実行するよう促されます。これは実は、リモートサーバーからQBotをダウンロードする悪意のあるスクリプトです。攻撃の技術的な詳細の説明と、侵害の兆候について詳しくは、Securelist(英語)の記事で確認いただけます。

PDF添付ファイルの例

QBotに感染するとどうなるのか

当社の専門家は、QBotをバンキング型トロイの木馬として分類しています。このマルウェアは、ブラウザーから認証情報(ログイン名とパスワード)やクッキーを窃取したり、通信に不正アクセスしたり、さらには銀行取引を監視したり、キーストロークを記録することまで可能です。また、他のマルウェア(例えばランサムウェア)をインストールすることもできます。

安全を確保するには?

このような巧妙なサイバー攻撃からビジネスを守るためには、以下の対策を講じることをお勧めします。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?