Dreambot-再度動き始めた、フィッシングメールなどに仕込まれるマルウェアに注意

年始早々から、楽天などをかたるスパムメールが相次いでいます。

このスパムメールは、Dreambot・URSNIFなどのマルウェア感染、フィッシングなどの可能性があり、各機関で注意喚起がされています。

今回のメールはかなり本物と似せて作られております。

（一般社団法人日本サイバー犯罪対策センターの案内画面よりキャプチャ）

詳しくは、一般社団法人日本サイバー犯罪対策センターに実例が載せられていますが、うっかりしていると無意識にクリックしてしまう恐れもあり、また、クリック・もしくはクリック先のファイルを開くとマルウェアに感染する可能性があります。

（なお、リンクをクリックしただけでマルウェアなどに感染することは、原理的にありうるのかということをESET社のサポートに確認しました。

解答は、「クリックするだけでもマルウェアに感染することは起こりうる、ただしセキュリティソフトを入れていれば、ヒューリスティック検知（ふるまい検知）で、動作を止めることはできる」というものでした。）

サイトでは、

JC3では、IT事業者、セキュリティ事業者、金融機関、警察などのJC3会員と協力して、不正送金の被害軽減に向けた分析を進めており、現在、主にインターネットバンキングマルウェア（DreamBot等）の感染拡大を目的としているメールが日本を標的として大量に送信されていることを把握しております。これらの悪質なメールは、添付ファイルを開くことにより、又は本文中のリンクをクリックすることにより、インターネットバンキングマルウェアへの感染等につながり、利用者は、金融機関関連情報が窃取されるなどにより、インターネットバンキングの不正送金などの犯罪被害にあうおそれがあります(DreamBotの詳細はこちら）。また、中には、リンクによってフィッシングサイトに誘導され、クレジットカード情報等の情報が窃取されるなどにより、不正使用の被害にあうおそれがあります（クレジットカード情報窃取の手口に関する注意喚起はこちら）。

とされております。

当方でもサブアドレスの一つに、複数の

[楽天]ログインしましたか？(2020/1/7 1:57)←時間は変わる

などのメールが送られており、リンク先を慎重に見てみると、送りつけた先のメールアドレスも含めた配列になっており、反応したメールアドレスが相手側にわかってしまう仕組みになっているようです。

今回のスパムメールは、Dreambot等（Ursnif/Goziその他亜種も含まれる）の可能性が高いとされていますが、よく名前が出てくるDreambotについて、説明したいと思います。

Dreambot（ドリームボット）とは？
Dreambot・URSNIFのセキュリティソフトウェア上での検知
1. ESET及び他社のDreambot・URSNIFへの対応状況
2. 関連

Dreambot（ドリームボット）とは？

Dreambotとは、当サイトでも良く紹介している、個人情報を詐取するマルウェアの一種です。

2017年頃より出ており、三井物産セキュアディレクションでは2018年などにも出現事例が報告されています。

上記の三井物産セキュアディレクションの記事によると、2018年のケースでは、

リンクをクリック

↓

ランダムな文字列の不正ファイル入りのZIPがダウンロード

↓

解凍すると、もっと詳しくの情報はこちら.zipが出現

↓

ファイル内にマルウェアに関するJavaスクリプトファイルが仕込まれており感染

というケースが多いようです。

感染すると、Explorer.exeというファイルに不正なコードを注入、起動時に自動起動されるようになり、下記の個人情報を盗み出します。

コンピューター名、ユーザー名
システム情報の一覧
Nslookupの情報（myip.opendns.comへの）
クリップボード情報
コンタクト情報
メール設定情報
各ブラウザの設定情報
インストールされたアプリケーションの一覧
閲覧履歴情報
認証情報
署名情報
デバイス情報
プロセス一覧
Cookie情報
キー入力情報とウィンドウタイトル情報
画面の動画キャプチャ