DreamBot感染を狙うスパムメール LAC

第三者による遠隔操作を用いたコーディングが実行される脆弱性「CVE-2017-0199」を悪用し、DreamBotへ感染させることを目的としたスパムメールが今月7日に確認されたことから、平成29年6月8日にLAC社がWebサイトでその概要を公表しています。


引用元:https://www.lac.co.jp/lacwatch/people/20170608_001301.html

概要

CVE-2017-0199」は、Microsoft Office及びワードッパットへユーザの意図に反し、不正なコードを埋め込まれる可能性を持つ脆弱性で、これに対しMicrosoft社は4月に修正プログラムを配布しました。


引用元:https://www.lac.co.jp/lacwatch/people/20170608_001301.html

しかし、今月7日に同脆弱性を悪用した上の画像のような、拡張子「pxsvj.doc」を「.doc」へ変更したファイルをzipを用いて圧縮し添付された、日本語表記のスパムメールが確認されているとのことです。


引用元:https://www.lac.co.jp/lacwatch/people/20170608_001301.html


引用元:https://www.lac.co.jp/lacwatch/people/20170608_001301.html

上の画像はMicrosoft Wordにて「pxsvj.doc」を開いたもので、赤線枠で指定されている文字列は不正スクリプトファイルが埋め込まれていることを表しています。


引用元:https://www.lac.co.jp/lacwatch/people/20170608_001301.html

不正スクリプトの実行が成立するとPowershellが呼び出され、不正なWebサイトに通信し、DreamBotのインストールが始まります。

 

関連リンク

DreamBotについて

DreamBotを使用した攻撃手口 TrendMicroによる公表

請求書を偽装したメールについて JC3

HTML HTML HTML 

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop