デジタルアーツ、Qakbot等に感染する日本語返信型マルウェア添付メールについて注意喚起
- 2021/12/20 10:30
- SecurityInsight
デジタルアーツは12月16日、日本語返信型の不審なメールで届くマルウェアについてのセキュリティレポートを公開したことを発表した。手法自体は以前から他のマルウェアでも利用されてきたものだが、今後も引き続き警戒が必要だとしている。レポートの概要は以下のとおり。
11月2日、デジタルアーツでは複数の不審なメールを観測した。メールには、日本語のメールに返信したかのような件名と、マクロが含まれるExcelファイルの入ったzipファイルの添付という共通する2つの特徴があった。これらは、Emotetなど今までに流行した他のマルウェアにある特徴だった。
今回観測されたメールにはzipファイル(.zip)が添付されており、その中にはExcelファイル(.xls)が入っていたとみられる。
このExcelファイルを開くと、シート上には実在の企業やサービスのロゴ・名称が並んでおり、ファイル暗号化のためにこの画面が表示されているかのような説明が書かれている。そして、上部に表示されたボタンをクリックするよう指示しているが、実際にはこのボタンを押すとマクロが有効化され、ペイロードと呼ばれる悪意のあるコードが自動で実行される。
今回確認されたマクロの挙動では、非表示だったシートを有効化し、そこに書かれた情報をもとに拡張子が .datであるファイルのダウンロードが開始される。この .datファイルが実行されると、Qakbotというマルウェアに感染するものとみられる。
今回観測したキャンペーン(一連の活動)には、いくつかの特徴が挙げられる。
■メールの件名が日本語かつ返信型
実際に企業や組織の間で送信されているような件名で、正常なメールかのように見受けられる。すべての件名が「Re:」で始まっており、あたかも取引先などからの返信かのように見える。「見積」「図面」など、添付ファイルが含まれそうなキーワードが多く、「在宅ワーク」「パーテーション」といったコロナ禍特有のキーワードが含まれているケースもある。
■マクロの有効化を促すExcelの文面
Excelのシートには実在の企業やサービスのロゴ・名称が並んでおり、日本語化はされてないものの自然に見える構成。マクロを有効化した場合も、利用しているOSに合わせたロゴが並んでいる画面を表示させるなど、外観にこだわっているように見受けられる。また、上部に表示されたマクロの有効化ボタンが、あたかも元のファイルを閲覧するために押す必要があるかのような文面も用意されている。