バラクーダネットワークスのエンジニア兼リサーチサイエンティストであるルイス・チャペッティー(Luis Chapetti、@cudasecurity)が、金曜日の午後に検出したフィッシング攻撃について警告しています。次のメールは、Bank of America Merrill Lynchを詐称して送信されたセキュリティメッセージです。
メールにはPDFファイルが添付され、マルウェアへのリンクが記載されています。このリンクは、次のようなアドレスです。
dl.dropboxusercontent.com /s/xn26h1fppik5np6/SecureMessage.zip?dl=1&token_hash=AAFeZ7ZaTMGCK_zbZfiraxwiTEBsq8rwQ7TF5l5lGEn9rg&expiry=1400258860
リンクをクリックすると、SecureMessage.zipファイルがダウンロードされ、Spyware/Win32.Zbotが展開されます。このトロイの木馬は、次の操作をコンピュータ上で実行します。
- サーバを起動して0.0.0.0:6710と0.0.0.0:6506をリッスン
- malkanat.com/images/Targ-1605USdp.tarのHTTP GETを実行
- MachineGuid、DigitalProductID、SystemBiosDateを収集
- ログインデータなどの個人情報を窃取し、ブラウザ経由で転送
- 自己インストールを行い、Windowsの起動時に自動実行されるように設定
このメッセージには、これまでに出現した「セキュリティメッセージ」メールと次のような類似点があります。
- 「セキュリティメッセージ」に実行可能ファイルまたはzipファイルが添付されている
- 添付ファイルをWebブラウザで開くようにユーザを誘導する
- マルウェアが収録されているDropboxリンクにユーザを誘導する
これ以外にも、Citibank、Key Bank、HSBC、NatWestなどの銀行の顧客を対象に、銀行を詐称したフィッシング攻撃が発生しています。
このようなメールを受信した場合は、US-CERTおよびAPWGに通報してください。
※本内容はBarracuda Product Blog 2014年5月19日Latest secure message scam targets Bank of America Merrill Lynch customersを翻訳したものです。
クリスティーン・バリー(Christine Barry)(バラクーダネットワークス、チーフブロガー)
本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』6月16日付の記事の転載です。