このブログを掲載した時点で過去 5 日間、オーストラリアのユーザーを標的としたマルウェアを含むスパムの増加が確認されています。このスパム活動を仕掛けている攻撃者は、オーストラリア内で大量のコンピュータを感染させること以外にとりたてて目的はないようで、その動機は今のところ不明です。オーストラリアの組織を騙ってオーストラリアのユーザーを標的にしているこの攻撃では、2 種類のバージョンが確認されています。
以下に示すのは、送信元を「オーストラリア税務署」と偽装している例です。「Tax Agent Report – Delayed Tax Returns(納税に関するお知らせ - 還付金について)」という件名で、Tax Report.zip というファイルが添付されています。この zip ファイルの中に TaxReport.xls.exe があり、これが悪質な実行可能ファイルです。
図 1. Downloader.Dromedan、オーストラリア税務署を騙る悪質な電子メール
次の例は、「Check-in Details(チェックインの詳細)」という件名でオーストラリアの航空会社を名乗る電子メールです。Check-in-Details.zip というファイルが添付されており、この zip ファイルの中に、check-in details.pdf.exe という悪質な実行可能ファイルが圧縮されています。
図 2. Downloader.Dromedan、オーストラリアの航空会社を騙る悪質な電子メール
どちらの電子メールも、添付ファイルの内容はまったく同じマルウェアです。実行されると以下のコマンド & コントロール(C&C)サーバーに接続します。
- linebench.ru/image.php
- headart.pl/image.php
- iprice.pl/image.php
- dyndin.ru/image.php
- dudebox.pl/image.php
このマルウェアは、さらに別の悪質なファイルを侵入先のコンピュータ上にダウンロードして実行するように設計されています。シマンテックはこの攻撃に対する保護対策を提供済みであり、このマルウェアを Downloader.Dromedanとして検出します。
いつものように、電子メールの添付ファイルを開くときは十分に注意してください。まったく心当たりも関係もない組織から怪しい電子メールが届いた場合、それは悪質なものと考えてまず間違いありませんので、けっして開封しないようにしてください。
電子メールの信憑性に疑問がある場合には、送信元の組織の Web ページに直接アクセスして、問い合わせてみてください。スパマーや詐欺師の被害を受けている組織も多いため、不正利用を報告する手段が Web サイトに用意されている場合もあります。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。