シマンテックは1月24日、過去3カ月の間に発見されたインド所得税局(Income Tax Department of India)のスパムメールについて、セキュリティブログで解説を行った。

この悪質なメールは、添付されているマルウェアやトロイの木馬でPCに侵入し、利用者のキーストローク情報を盗み出そうとする。トロイの木馬の場合は、開いているウィンドウのタイトルやOSのバージョンを収集して、攻撃者のC&Cサーバへ送信する。

メールは2種類あると見られており、最も多く広まっているのが、受信者の銀行口座から所得税として数千ルピーを引き落としたと通知してくるもの。メールには「支払いの領収証」と称するZIPファイルが添付されており、誤って受信者が開くとマルウェアに感染する。

1種類目の詐欺メール。所得税を銀行口座から引き落としたと通知してくる

領収証と称するファイルも添付されている

もう一方は、所得税局から送信された実際の通知のテンプレートを複製したもの。本文内に、インドで納税者の識別情報として使われる「PAN(個人アカウント番号)」についての記載がある。こちらも添付されているZIPファイルにトロイの木馬が入っている。

2種類目の詐欺メール。インド所得税局からのメールを模倣したテンプレートが使われている

2種類のメールは、信ぴょう性を持たせるためにインド所得税局が所有するメールアドレスのドメインを詐称していた。メールの送信元は、43%がインド国内、英国(14%)であった。国外から送信されているのは、インド国籍のユーザーの多くが他の国に在住しているためと見られている。

メールの半数近くがインド国内のユーザーに送信されている

マルウェアの一部は、Visual Basicで作られており、ソースコードは、ヒンディー語とスペイン語の関数が混在しており、ほかのソフトウェアからコピーされたものと見られている。

ヒンディー語とスペイン語の関数名

インドの所得税局が納税者にメールを送る場合は、添付ファイルが受信者にしかわからないパスワードで保護されている。パスワードは納税者のPANと、個人の場合は年月日、法人の場合は設立日とを組み合わせている。

所得税局から送信された本当の通知メールのサンプル