新たに確認されたスパムキャンペーン BLEEPINGCOMPUTER


引用元:https://www.bleepingcomputer.com/news/security/psa-dont-open-spam-containing-password-protected-word-docs/

セキュリティベンダのBLEEPINGCOMPUTERが、特定のパスワードを入力することで開封できる、支払い書に偽装したWord文書のスパムメールキャンペーンについて、平成29年7月29日にWebサイトにて報告しました。

 

概要

(画像1:メール)

SPAM Email from Troy
引用元:https://www.bleepingcomputer.com/news/security/psa-dont-open-spam-containing-password-protected-word-docs/
当該キャンペーンで確認されているスパムメールについて、件名を「トロイ・ワットからの重要な情報」とされているが、この名前は受信者間でランダムに受信される可能性が高いとのことです。
同社が確認したメールには、「l_%74kk03ca52q_Troy Watt.docx」というファイル名で、パスワードで保護されているWord文書ファイルが添付されています。
メール本文には「このメールは支払いについての詳細で、送金は1日以内に行われます。パスワードはXXXXXX、添付したWord文書ファイルを開封し、このパスワードを貼り付けてください。」といった指示が記載されています。

 

(画像2:パスワード入力を催促する画面)

Password Protected Word Doc
引用元:https://www.bleepingcomputer.com/news/security/psa-dont-open-spam-containing-password-protected-word-docs/
パスワードはメールの本文(画像1)に記載されており、同社は、実際に仮想環境にて当該Word文書ファイルを開封し、指示通りパスワードを指定された欄へ入力しました。

 

(画像3:4つのドキュメントの出現)

Opened Word Attachment
引用元:https://www.bleepingcomputer.com/news/security/psa-dont-open-spam-containing-password-protected-word-docs/
入力後、受信者へ支払われる金額の表記は無く、代わりに、4つのドキュメントが表示されました。

 

(画像4:JavaScriptの実行を確認)

JS File Execute Confirmation
引用元:https://www.bleepingcomputer.com/news/security/psa-dont-open-spam-containing-password-protected-word-docs/
ドキュメント(画像3)をクリックしたところ、JavaScriptファイルを実行するか問われます。

 

(画像5:JavaScript)

Obfuscated Javascript File
引用元:https://www.bleepingcomputer.com/news/security/psa-dont-open-spam-containing-password-protected-word-docs/
%Temp%フォルダから見つけた、この難読化されたJavaScriptファイルはwscript.exeによって実行されます。
このJavaScriptは基本的に以下の3つのURLの1つから、DLLをダウンロードし、それを%AppData%へ保存します。
「46.17.40.142/45.txt」
「www.afripaper.co.za/Readme.txt」
「vreken.co.za/php.txt」

 

(画像6:デバックによる警告の表示)

Debug Alert?
引用元:https://www.bleepingcomputer.com/news/security/psa-dont-open-spam-containing-password-protected-word-docs/
ダウンロードを終えると、DLLregsvr32.exeにより実行され、DLLが正常に実行されたことが表示されます。
これらのDLLファイルは%AppData%へインストールされ、%AppData%より読み込まれます。
また、 拡張子を「.ogg」とし、ランダムな数値名が付与されます(画像6)。

 

(画像7:文字列)

Packed Strings
引用元:https://www.bleepingcomputer.com/news/security/psa-dont-open-spam-containing-password-protected-word-docs/
DLLファイルのサイズは4KBで、解凍せずに閲覧をするとごくわずかな文字列のみが記載されていました。

このスパムメールキャンペーンは、キーロガー、及びトロイの木馬をインストールし、データの窃盗を目的としているのではないかとのことです。
同社は、知らない送信元からのパスワード保護が施されたファイル付きメールを開封しないよう、注意を呼びかけています。

 

関連リンク

スパムメール被害事例

マルウェアについての報告一覧

なりすましについての報告一覧

HTML HTML HTML

UTM導入サービス
お問い合わせ 045-311-6820 セキュリティに関するお問い合わせ 無料相談受付中
PageTop
中小企業の情報セキュリティを守る中小企業情報セキュリティ.COM by 横浜情報機器株式会社