トレンドマイクロは11月26日、オンライン銀行詐欺ツール「DRIDEX」に関連する複数のスパムメールを確認したとしてセキュリティブログで注意を促した。
「DRIDEX」は、米国と英国の法執行機関によって、10月に攻撃活動の起点となるコマンド&コントロール(C&C)サーバ間のネットワークが閉鎖に追い込まれている。これにより、DRIDEXの攻撃活動に大きな打撃を与えることはできたものの、活動の終息には至らなかったという。すべてのインフラストラクチャを停止し、攻撃者グループ全員を逮捕しない限りは、完全に終息させることは不可能とされている。
|
「DRIDEX」の検出数の国別割合(2015年10月13日~11月23日) 資料:トレンドマイクロ |
トレンドマイクロは、C&Cサーバの閉鎖後も脅威の監視と、法的機関との協働を続けていたが、C&Cサーバが閉鎖された直後の一カ月で、すでにスパムメールを確認している。スパムメールの多くは、請求書、未払い通知、資産報告書、預金残高、領収書といった金融に関連したソーシャル・エンジニアリングを利用しており、それぞれ内容の異なる約10種類の亜種があった。
|
「DRIDEX」を拡散するために利用されたスパムメールの例 |
|
「DRIDEX」を拡散するために利用されたスパムメールの例 |
トレンドマイクロがスパムメールの送信活動を詳しく検証した結果、2014年8月頃から確認されている「DRIDEX」を利用するボットネットによって送信されたものであることが判明した。「DRIDEX」を利用するボットネットは、番号によって分類され、どの攻撃者やキャンペーンによるものか、またどの標的に関連するものかを番号で識別できる。スパムメールで使われた番号は、トレンドマイクロが2014年から確認している。
|
|
今回のスパムメール送信活動で確認された「DRIDEX」に関連付いた番号 |
また、亜種を解析した結果、これまでの亜種と同様に、難読化や間接呼び出しなどの解析を"より"困難にするための複雑な手法を利用されていることが判明した。以前の解析では、電子メールの送信に関連した文字列がコードに含まれていたが、今回の亜種も同様の機能を備えている疑いがある。メール送信機能があれば、「DRIDEX」のボットネットだけで感染フローを完結させることができる仕様となる。
|
|
「DRIDEX」のコード |
スパムメールには、マクロを含むExcelファイルとWordファイルが添付されており、開封すると「DRIDEX」の不正なファイルをダウンロードする。マクロを悪用する手法は、以前にも「DRIDEX」を拡散するために用いられており、今回の攻撃者も同様の手法を利用していると見られている。
新たなスパムメールの送信活動が確認されたことで、「DRIDEX」を利用する攻撃者グループが再編成され、サイバー犯罪活動を新たに開始したことを示唆していると見られており、新たな脅威として認識する必要がある。
トレンドマイクロは「DRIDEX」の攻撃を防ぐ手段として、端末にインストールされているWordやExcelでは通常マクロを無効にしておき、必要な時だけ有効にするようにと呼び掛けている。
