シマンテックは1月24日、過去3カ月の間に発見されたインド所得税局(Income Tax Department of India)のスパムメールについて、セキュリティブログで解説を行った。
この悪質なメールは、添付されているマルウェアやトロイの木馬でPCに侵入し、利用者のキーストローク情報を盗み出そうとする。トロイの木馬の場合は、開いているウィンドウのタイトルやOSのバージョンを収集して、攻撃者のC&Cサーバへ送信する。
メールは2種類あると見られており、最も多く広まっているのが、受信者の銀行口座から所得税として数千ルピーを引き落としたと通知してくるもの。メールには「支払いの領収証」と称するZIPファイルが添付されており、誤って受信者が開くとマルウェアに感染する。
もう一方は、所得税局から送信された実際の通知のテンプレートを複製したもの。本文内に、インドで納税者の識別情報として使われる「PAN(個人アカウント番号)」についての記載がある。こちらも添付されているZIPファイルにトロイの木馬が入っている。
2種類のメールは、信ぴょう性を持たせるためにインド所得税局が所有するメールアドレスのドメインを詐称していた。メールの送信元は、43%がインド国内、英国(14%)であった。国外から送信されているのは、インド国籍のユーザーの多くが他の国に在住しているためと見られている。
マルウェアの一部は、Visual Basicで作られており、ソースコードは、ヒンディー語とスペイン語の関数が混在しており、ほかのソフトウェアからコピーされたものと見られている。
インドの所得税局が納税者にメールを送る場合は、添付ファイルが受信者にしかわからないパスワードで保護されている。パスワードは納税者のPANと、個人の場合は年月日、法人の場合は設立日とを組み合わせている。