Dridexは、マクロを利用してWindowsシステムに拡散するバンキング型マルウェアです。スパムメールの添付ファイルは、この感染拡大に利用されます。バンキング型マルウェアは一般的にキーロガーです。ユーザーを騙して添付ファイルを開かせ、ユーザーのコンピュータ上でキー入力を記録し、自身の利益のために利用します。最近確認されたDridexの活動には、PDFファイルが媒体として含まれていました。添付ファイルには請求書や領収書が含まれていました。
件名は「123-reg請求書のコピー(123-458452066)」です。
メッセージ本文には注文の詳細が記載されており、支払い領収書が添付されています。メールの最後にはサポート情報が記載されており、本物らしく見せかけ、ユーザーに添付ファイルを開いてもらうよう促しています。
システム上でどのように拡散するか:
- メールにはPDFファイルと埋め込まれたDocファイルが含まれています
PDF名 – 123-149715480-reg-invoice.pdf
スパムメールを介して拡散し、支払い領収書や請求書を記載してユーザーを騙してメールを開かせます。
- PDF内に埋め込まれたDocmファイル
- PDFファイルを開くと、Adobe Readerは、開いているDOCファイルに悪意のあるマクロやウイルスが含まれている可能性があるという警告を表示します。
ここでわかるように、docm ファイル 99848 が感染の原因となっています。
- %temp% の場所に「99848.docm」のようなdocmファイルをドロップします。常に数字のdocmファイルがドロップされることが観察されています。クリックするとファイルがドロップされます。 「ファイルを開く」 PDF を開いたときに警告中に表示されるオプション。
- ドロップされたドキュメント ファイルは読み取り専用モードで開き、編集してアクセスして実行できるように黄色のバーが表示されます。
Dridexは拡散方法を変えましたが、その動作は変わりません。DOCファイルを介して拡散するのと同様に、PDFは単なる媒体として機能します。スパムメールを識別するためのより強力な技術と、より強力なファイアウォールポリシーの設定が必須です。
クイックヒール検出
- Quick Heal の電子メール保護機能は、このような悪意のある添付ファイル (この場合はスクリプト ファイル) が実行される前にブロックします。
- Quick Heal は PDF および埋め込み Doc ファイルの検出機能を提供します。
予防措置
- pdf.bin や doc.js などの二重拡張子を含む電子メール添付ファイルは、ソースが不明または信頼できない場合は絶対に開かないでください。
- 常に既知の Web サイトにアクセスし、魅力的な取引を示すリンクや広告をクリックしないでください。
- 定期的にウイルス対策ソフトウェアを更新して、データとシステムを最新のマルウェアの傾向から保護します。
- 安全なデジタル環境を確保するために、ソフトウェアとオペレーティング システムを最新の状態に保ってください。
了承
主題専門家
• ナヤン・ヴァイラギ
– 脅威調査・対応チーム
