なりすましでターゲット(標的)向けにマルウェアを送りつける手法だ。
以下、IT-proより抜粋(2013/12/20)
http://itpro.nikkeibp.co.jp/article/COLUMN/20131216/525163/?ST=security&P=4
大量メール攻撃で、画像にマルウエアを隠す方法について。ロシアのカスペルスキーラボが、ここ数年、英語とドイツ語のマルウエアが増えている
10月に見つかった手口は、独ドイツテレコム傘下のT-モバイルからの電子メールを装い、MMS(マルチメディアメッセージングサービス)のメッ セージが届いていると通知する。通知メールを本物らしく見せるために、送信者アドレスには正式なドメインが記載されるようになっている。ただ、実際には異 なるアドレスから発信されている。メール本文には、送信者の電話番号など一般的な情報が掲載されている。添付のアーカイブ「23-10-2013 43_69_10.zip」には、JPEG画像であるかのような名前のファイル「23-10-2013 13_64_09.jpeg.exe」が含まれている。注意深いユーザーなら気づくに違いないが、拡張子は「.exe」だ。カスペルスキーラボはこの実行 可能ファイルを「Backdoor.Win32.Androm」として検出している。
このボットプログラムは、攻撃者が感染コンピュータ上でコマンドをリモートから実行できるようにする。攻撃者はユーザーに気づかれずに別のマルウエアをダウンロードして起動することが可能だ。
11月には、画像共有サービス「Instagram」を利用して、悪意のある電子メールを大量送信する攻撃が確認された。Instagramからの通知 であるかのように見せかけ、「あなたの友達が写真を投稿しました」と、添付のZIPアーカイブを開くように促す。写真とされるファイル「Photo DIG9048599868.jpeg.exe」は、実際にはボットプログラム「Trojan.Win32.Neurevt」だ。多数の機能を備え、ブラ ウザーに保存されているクッキーやパスワードなどの情報、サイトにログインする際のユーザー名およびパスワード、ゲームコードなどを盗む。
また、様々なプログラムを被害コンピュータ上にダウンロードして起動したり、分散型サービス拒否(DDoS)攻撃を仕掛けるためのボットネットを構築した りする。複数のセキュリティ製品に対抗する高度な手段も備え、例えばウイルス対策ソフトやWindows Update機能の起動を防止し、ウイルス対策製品ベンダーのWebサイトへのアクセスを妨害する。
ウィルス対策ソフトやWindowsアップデートを妨害されるとはたちが悪い。。。
いったんマルウェアに感染してしまった端末は、以後やられたい放題ですね。。
他の類似した大量メール送信と同様に、電子メールには画像と思われるアーカイブが添付されているが、実際には二重の拡張子が付いた実行可能ファイルだ。 このケースでは「.scr」が使われ、カスペルスキーラボは「Trojan-Downloader.Win32.Agent」として検出している。このト ロイの木馬は偽ウイルス対策ソフトを被害コンピュータにインストールする。その結果、感染マシンは絶えず「ウイルスを検出した」との警告をポップアップ表 示するようになり、これを解決するためにユーザーはウイルス対策製品の完全版を購入するよう促される。
いずれも画像ファイルと見せかけて二重の拡張子を送付し、実行ファイルを実行させている。
たしかに画像ファイルは思わず開いてしまいがちですね。
標的型攻撃の場合、アンチウィルスのシグネチャ(検体)が無いためにブロック出来なかったのだろう。
このようなケースは、PaloaltoのWildFire機能とボットネット検知レポート機能が有効である。
WildFireを使用することで、メールを経由してダウンロードされるマルウェア(実行ファイル)をサンドボックスにアップロードし、ファイルが悪意のあるファイルであると判断されると、WildFire は自動的に新たな脅威に対するシグネチャを生成させます。
仮に家でマルウェアに感染してしまったパソコンが企業内LANに接続されてしまった場合、ボットネット検知レポート機能により、感染が疑われるホストを洗い出すことが可能です。※レポートのみでブロックは出来ません。
いずれにしても、今後はアンチウィルス+α の対策を講じる必要があるようだ。