新たな「Trickbot」マルウェアキャンペーン、本物のような銀行の偽サイトにユーザー誘導

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2017-08-15 11:13

 最新の「Trickbot」拡散キャンペーンで、7万5000通以上の電子メールが25分の間に送信されたことをCyrenのセキュリティ研究者らが発見した。これらの電子メールは全て、英銀行大手のLloyds Bankが送信したように偽装されているという。

 これらの電子メールの件名は「Incoming BACs」となっている。BACSとは、1つの電子メールアカウントから別の電子メールアカウントに直接送金できる機能を提供するシステムだ。電子メールは標的に対し、添付書類を確認するよう促す。

 添付された「Excel」ファイル「IncomingBACs.xlsm」をダウンロードして開くと、ユーザーはその文書を編集するためにマクロを有効にするよう促される。しかし、多くの電子メールキャンペーンと同様、このプロセスを実行すると、マルウェアペイロードがデプロイされてしまう。

 今回のケースでは、Trickbotは「PowerShell」を使って実行ファイルをダウンロードする。このファイルは最終的に「Pdffeje.exe」として実行される。これはTrickbotのメインのプロセスで、同マルウェアをマシンにインストールする。

Cyren Incoming BACs Trickbot
提供:Cyren

 コンピュータがTrickbotに感染すると、同マルウェアはバックグラウンドで実行され、被害者がオンラインバンクにアクセスするのを待つ。

 被害者がオンラインバンクにアクセスすると、Trickbotは彼らを悪意あるサイトにリダイレクトする。今回のケースでは、被害者は本物のように偽装されたLloydsの偽ウェブサイトにリダイレクトされる。この偽ウェブサイトは、Lloydsの正しいURLと正規のSSL証明書を提示するので、ユーザーは自分がだまされていることに気づかない可能性もある。

 攻撃者は被害者のオンライン銀行の認証情報とセキュリティコードを盗むことができる。

 これらの偽サイトは本物にそっくりだが、電子メールがLloydsから送信されたものでないことを示す情報が1つある。送信元の電子メールアドレスのスペルが正しくないことだ。

 正しい電子メールアドレスは「lloydsbank.co.uk」だが、偽装メッセージの送信元は「lloydsbacs.co.uk」となっている。この電子メールのほとんどが、スパムの発信元として知られているオランダのIPアドレスから送信されているというという。


提供:iStock

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    まずは“交渉術”を磨くこと!情報セキュリティ担当者の使命を果たすための必須事項とは

  2. ビジネスアプリケーション

    改めて知っておきたい、生成AI活用が期待される業務と3つのリスク

  3. セキュリティ

    「2024年版脅威ハンティングレポート」より—アジアでサイバー攻撃の標的になりやすい業界とは?

  4. ビジネスアプリケーション

    Google が推奨する生成 AI のスタートアップガイド、 AI を活用して市場投入への時間を短縮

  5. クラウドコンピューティング

    生成 AI リスクにも対応、調査から考察する Web ブラウザを主体としたゼロトラストセキュリティ

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]