ここ数週間、ユナイテッド・パーセル・サービス(UPS)の貨物車両を装ったメールを介して拡散する、新たな悪意のあるスパム(マルスパム)の亜種が確認されています。このメールには、NemucodAESランサムウェアとファイルレス型トロイの木馬Kovterを含むzipファイルが添付されています。
以前は、このようなマルスパム キャンペーンによって、Cerber ランサムウェアや Kovter トロイの木馬が配信されていました。
攻撃手法
ステップ1 - ユーザーは、JavaScript ファイルを含む悪意のある zip ファイルが添付されたスパム メールを受信します。
このキャンペーンで送信されるスパム メールには通常、ユーザーを騙してメールを開かせるために、以下の件名と添付ファイル名が含まれています。
| 件名 | 添付ファイル名 |
| ***感染*** アイテム配送の問題 n.004640147 | UPS-パッケージ-004640147.zip |
| ***感染*** アイテム配送の問題 n.001656569 | UPS-ラベル-001656569.zip |
| 荷物ID004692898 配送上の問題を確認してください | UPS-領収書-004692898.zip |
| 荷物番号004522553を配達できませんでした | UPS-配達-004522553.zip |
| UPSの配送業者がお客様に連絡できません(小包番号008284689) | UPS-小包-ID-008284689.zip |
| 配送状況の通知 (UPS 5952930) | UPS配送詳細5952930.zip |
| 配送状況の通知 (UPS 001387092) | UPS-パッケージ-001387092.zip |
ステップ2 - JavaScript実行
JavaScriptファイルには長い変数があり、これは侵害されたウェブサイトから「counter.js」ファイルをダウンロードするために使用されます。この「counter.js」は、埋め込まれたPHPに切り替え、暗号化を行うPHPインタープリタファイルをダウンロードする役割を担っています。
実行後、ファイルは拡張子やファイル名を変更せずに暗号化されます。暗号化には、ECBモードのAES-128とRSA暗号化アルゴリズムの組み合わせが使用され、ファイルの復号をより困難にします。
暗号化後、以下の身代金要求メッセージが表示されます。
Nemucodランサムウェアに加え、ユーザーのコンピュータはKovterファイルレスマルウェアにも感染します。KovterはWindowsレジストリに潜伏し、オンライン広告への不正クリックを誘発して攻撃者に金銭を搾取するキャンペーンに利用されます。
認定条件 Seqrite ことができます
1. Seqrite エンドポイントセキュリティ 電子メール保護 このような悪意のある添付ファイルがシステムに感染する前にブロックします。
2. Seqrite エンドポイントセキュリティウイルス対策は、攻撃に使用された悪意のあるスクリプトファイルを検出し、削除します。
3. 下のグラフは、1から受信したスパムメールの傾向を示しています。st 16へth 7月2017。
セキュリティのヒント
- 予期しないメールや知らないメールに添付されているリンクをクリックしたり、添付ファイルを開いたりしないでください。
- 二重拡張子のファイルを開かないでください (例: doc.js、wsf.js など)
- ポップアップ広告、特に信じられないようなオファーを謳う広告はクリックしないようにしましょう
- あまり人気のないウェブサイトにアクセスしない
- コンピュータのオペレーティングシステムとAdobe、Java、インターネットブラウザなどのソフトウェアをパッチ適用し、最新の状態に保ちます。
謝辞
- 主題専門家
Prashant Tilekar、Swati Gaikwad | Quick Heal Security Labs
