4月のスパムレポート:マルウェアが仕込まれているマトリョーシカ風トロイの木馬

2014年6月04日
スパムニュース

[本リリースは、2014 年5月27日にKaspersky Labより発表されたプレスリリースの抄訳です]

4 月には、E カードおよびファックス受信のメール通知を装った悪質なスパムが流通しました。イースターのお祝いカードと思われたものは、トロイの木馬 Fareit.aonw でした。このトロイの木馬自体は限定的な機能しか持っていませんが、パスワードを盗む代わりに、さらに危険な Zbot Trojan-Spy(サーバーを攻撃して個人情報を盗むマルウェア)をダウンロードして起動します。もう 1 つのケースは、有名なオンラインファックスサービスからの偽メールを使ったものです。このメールには、小型のダウンローダー型トロイの木馬が仕込まれており、それが悪名高い Zeus/Zbot ファミリーのマルウェアをインストールします。

Kaspersky Lab は、4 月に有名なオンラインファックスサービスのeFax から送信されたファックスを装った、複数の大規模偽メールの攻撃を検知しました。このサービスは、E メールに添付する形でファックスを送受信します。偽のメールには、受信したファックスの情報に加えて枚数まで示して信憑性を高めています。しかし、添付されている zip ファイルには、マルウェアの Trojan-Downloader.Win32.Cabby.a が仕込まれていました。これはやや小型のダウンローダー型トロイの木馬で、内部に CAB ファイルの形式でドキュメントや画像が格納されており、マルウェアが起動するとそれらが表示されます。ユーザーが画像を見ている間に、Cabby が密かに別のマルウェアをダウンロードします。弊社の調査により、後からダウンロードされたのは ZeuS/Zbot ファミリーのマルウェア(Trojan-Spy.Win32.Zbot.shqe)であることが判明しました。

フィッシング

4月にフィッシング攻撃の対象となったカテゴリートップ 3は、E メールおよび検索エンジンサイト(31.9%)、ソーシャルネットワーキングサイト(23.8%、3 月から 0.2 ポイント減)、金融・決済機関(13%、3 月から 0.2 ポイント減)でした。

攻撃の最大の標的となったのは、インターネット経由のサービスを提供する中国の Tencent でした。同社はインスタントメッセンジャー QQ の技術サポートを提供しています。詐欺師たちは、「リンクをクリックして自分のアカウントへのアクセスを復活させてください」というようなよくある手口を使い、顧客のログイン名とパスワードを手に入れました。実際には、そのリンク先はフィッシングサイトでした。このメールは、スパムフィルターを回避し、かつ本物らしく見えるように画像の形式で送信されていました。

Kaspersky Lab のシニアスパムアナリスト、タチアナ・シチェルバコワ(Tatyana Shcherbakova)は次のようにコメントしています。「先月は、Pump and Dump スパムと呼ばれる新たな流行を見つけました。このスパムは、近い将来値上がりが見込まれる“ある会社の株”を非常に安く購入することを勧めるものです。それによりこの銘柄の株の需要を高め、株価を故意に吊り上げます。その後、詐欺師らはこの株を売り抜け、株価は急落します。騙された投資家らの手には紙切れ同然の株が残り、投資した金額は失われます。このような詐欺では、セカンダリーマーケットで取引されるようなあまり知られていない銘柄が選ばれる傾向にあります。ちなみに 4 月には、米国の企業、Rich Pharmaceuticals の名前が使われました」

4 月の全世界のメールトラフィックにおけるスパムの割合は、前月より 7.6 ポイント増加し71.1% でした。

このレポートの全文は、securelist.com でご覧いただけます。