トレンドマイクロは9月9日、同社のセキュリティブログにおいて、ネットバンキングを狙う新たなマルウェアスパム「ご注文の確認」を確認したと報告した。
2014年12月以降、有名ネット通販サイトからのメールを偽装し、オンライン銀行詐欺ツール「WERDLOD」を拡散しようとするマルウェアスパムが観測されている。トレンドマイクロでは、2015年9月に入りこのマルウェアスパムが、「ご注文の確認」という文字列を含む件名で、別の有名ネット通販サイトを偽装する新たな手口に変化したことを確認した。
当初2014年12月に確認された手口では件名は「○○日付ご注文」(○○は年月日を表す数字列)の文字列を含んでおり、添付ファイルは Word文書ファイル内に「WERDLOD」の不正プログラムファイルが張り付けられているという体裁だった。今回新たに確認された手口では、件名は「ご注文の確認」を含む文字列であり、添付の圧縮ファイル内に PDFアイコンの偽装を施した「WERDLOD」の不正プログラムファイルが含まれていた。
PDFアイコン偽装を施した不正プログラムファイルの例 |
この添付ファイル名に含まれる数字列は、メールが出回り始めた「2015年9月3日」の日付を表しているものと思われるが、表記が日月年の順番となっており、日本で一般的な年月日表記とは異なることが注意点として挙げられる。この日付表記が日月年の順番となっているファイル名は以前からのマルウェアスパムと同様であり、関連性が伺える。
また、以前も今回もメール本文にはほとんど内容がなく、一般的な注文確認のメールとは体裁が異なるため、受信者にとっては不審メールと気づきやすいものと言える。しかし、それでもトレンドマイクロのクラウド型セキュリティ技術基盤である「Trend Micro Smart Protection Network(SPN)」の統計では、9月3日以降7日までの4日間で、「WERDLOD」が国内の150台以上からの検出を確認。前月の8月には以前からの「##日付ご注文」スパムが出回っていたことを確認しているが、1カ月間で約130台の検出に留まっていることと比較すると、新たなマルウェアスパムは大きな影響があったものと言える。
日本国内における「WERDLOD」の月別検出台数推移(2015年9月は7日まで) |
最終的に侵入する「WERDLOD」はこれまで同様、侵入した環境のプロキシ設定を変更し、特定のネットバンキングサイトへのアクセスを不正なプロキシ経由にすることで中間者攻撃を可能とする。今回確認できたものでは国内の金融機関に関連する23サイトが対象となっていた。