is702
ニュース

標的は日本ユーザー、不正コード埋め込み画像をダウンロードさせるスパムメール

2018/11/21

トレンドマイクロは11月20日、公式ブログで「日本のユーザを狙うスパムメール送信活動を確認、ステガノグラフィを利用し『BEBLOH』を拡散」と題する記事を公開しました。

それによると、画像ファイル等のなかに、さらに別のデータを埋め込む「ステガノグラフィ」という技術を悪用したスパムメールが確認されたとのことです。ステガノグラフィを使った場合、たとえば、“普通に閲覧できるJPGファイルのなかに、さらにテキスト文章を埋め込む”といったことが可能になります。

今回のケースは、オンライン銀行詐欺ツール(バンキングトロジャン)「BEBLOH」を拡散するスパムメールでした。トレンドマイクロは、送信活動を10月24日に確認し、18万5902件のスパムメールを検出。これらのスパムメールは、90%以上が日本語話者を対象としており、「注文書の件」「申請書類の提出」「立替金報告書の件です。」「納品書フォーマットの送付」「請求データ送付します」といったタイトルで送られていました。

これらのスパムメールには、「DOC2410201810<6桁のランダムな数字>.xls」というファイル名のExcelファイルが添付されています。このExcelファイルを開くと、見積書が表示されますが、同時にマクロを有効にするよう指示されます。この指示に従ってしまうと、不正なマクロにより、画像がダウンロードされます。この画像には、ステガノグラフィの手法を用いて、PowerShellスクリプトが隠ぺいされており、このスクリプトも実行されます。そして最終的に、BEBLOHやURSNIFがダウンロードされます。

このように、攻撃者は手口を微調整しながら、さまざまな脅威を拡散しています。OSやソフトウェアの定期的な更新、管理者用ツールの制限および監視、メールゲートウェイの保護、不審なメールや迷惑メールに対する注意を欠かさないようにしてください。



ダウンロードされた画像のイメージ(不正な元画像では、PowerShellスクリプトが隠ぺいされていた)

ダウンロードされた画像のイメージ(不正な元画像では、PowerShellスクリプトが隠ぺいされていた)