Dreambot(ドリームボット)・URSNIF(アースニフ)、再度動き始めたフィッシングメールに仕込まれるマルウェアに注意

年始早々から、楽天などをかたるスパムメールが相次いでいます。

このスパムメールは、Dreambot・URSNIFなどのマルウェア感染、フィッシングなどの可能性があり、各機関で注意喚起がされています。

 

今回のメールはかなり本物と似せて作られております。

(一般社団法人日本サイバー犯罪対策センターの案内画面よりキャプチャ)

 

Dreambot

 

 

 

 

 

 

 

詳しくは、一般社団法人日本サイバー犯罪対策センターに実例が載せられていますが、うっかりしていると無意識にクリックしてしまう恐れもあり、また、クリック・もしくはクリック先のファイルを開くとマルウェアに感染する可能性があります。

 

(なお、リンクをクリックしただけでマルウェアなどに感染することは、原理的にありうるのかということをESET社のサポートに確認しました。

解答は、「クリックするだけでもマルウェアに感染することは起こりうる、ただしセキュリティソフトを入れていれば、ヒューリスティック検知(ふるまい検知)で、動作を止めることはできる」というものでした。)

 

サイトでは、

JC3では、IT事業者、セキュリティ事業者、金融機関、警察などのJC3会員と協力して、不正送金の被害軽減に向けた分析を進めており、現在、主にインターネットバンキングマルウェア(DreamBot等)の感染拡大を目的としているメールが日本を標的として大量に送信されていることを把握しております。これらの悪質なメールは、添付ファイルを開くことにより、又は本文中のリンクをクリックすることにより、インターネットバンキングマルウェアへの感染等につながり、利用者は、金融機関関連情報が窃取されるなどにより、インターネットバンキングの不正送金などの犯罪被害にあうおそれがあります(DreamBotの詳細はこちら)。また、中には、リンクによってフィッシングサイトに誘導され、クレジットカード情報等の情報が窃取されるなどにより、不正使用の被害にあうおそれがあります(クレジットカード情報窃取の手口に関する注意喚起はこちら)。

とされております。

 

当方でもサブアドレスの一つに、複数の

[楽天]ログインしましたか?(2020/1/7 1:57)←時間は変わる

などのメールが送られており、リンク先を慎重に見てみると、送りつけた先のメールアドレスも含めた配列になっており、反応したメールアドレスが相手側にわかってしまう仕組みになっているようです。

 

今回のスパムメールは、Dreambot等(Ursnif/Goziその他亜種も含まれる)の可能性が高いとされていますが、よく名前が出てくるDreambotについて、説明したいと思います。

 

スポンサーリンク

Dreambot(ドリームボット)とは?

Dreambotとは、当サイトでも良く紹介している、個人情報を詐取するマルウェアの一種です。

2017年頃より出ており、三井物産セキュアディレクションでは2018年などにも出現事例が報告されています。

 

上記の三井物産セキュアディレクションの記事によると、2018年のケースでは、

リンクをクリック

ランダムな文字列の不正ファイル入りのZIPがダウンロード

解凍すると、もっと詳しくの情報はこちら.zipが出現

ファイル内にマルウェアに関するJavaスクリプトファイルが仕込まれており感染

 

というケースが多いようです。

 

感染すると、Explorer.exeというファイルに不正なコードを注入、起動時に自動起動されるようになり、下記の個人情報を盗み出します。

 

コンピューター名、ユーザー名
システム情報の一覧
Nslookupの情報(myip.opendns.comへの)
クリップボード情報
コンタクト情報
メール設定情報
各ブラウザの設定情報
インストールされたアプリケーションの一覧
閲覧履歴情報
認証情報
署名情報
デバイス情報
プロセス一覧
Cookie情報
キー入力情報とウィンドウタイトル情報
画面の動画キャプチャ

 

これらのデータを元に、オンラインバンキングなどの不正アクセスもできてしまう可能性があるわけです。

場合によっては、オンラインに接続している金融機関のログインデータなどが窃取され、不正アクセス・不正出金をされる恐れがあります。

 

また、二段階認証をうまくかいくぐる仕組みも備えています。

二段階認証の偽認証画面を出して、利用者に入力させることにより、このコードを利用して本物のサイトから引き去る可能性があるのです。

下記は2年前の記事ですが、当時より巧妙になっている可能性はあります。

ワンタイムパスワードでも危ない、警視庁が新型ウイルスの被害を確認

 

2020年に出回っているスパムメールの挙動については不明ですが、リンクしただけでクリックしたアドレスが相手に伝わってしまうことは確実なので、いずれにせよリンクをクリックしないことが重要です。

 

スポンサーリンク

Dreambot・URSNIFのセキュリティソフトウェア上での検知

Dreambot・URSNIFに関しては、以前からあるマルウェアのため、大抵のセキュリティソフトウェアが発見・駆除できるかと思いますが、念のためセキュリティソフトウェア開発会社に対応状況を確認しました。

今回は、以前に作られたマルウェアであることから、1社のみに行っています。

 

ESET及び他社のDreambot・URSNIFへの対応状況

やはり、既に対応しており、検知については、亜種含め問題なくできるという解答でした。

 

トレンドマイクロ・カスペルスキーなども、Dreambot・URSNIFをマルウェアとして既に認識、データベース上に登録しており、対応していると思われます。

 

やはり、当然のことながら、セキュリティソフトウェアの導入、更新は必須と改めて感じました。

 

詳しい対策や他のフィッシングメール・マルウェア対策はこちらへ。

情報窃取マルウェア・ウイルス・フィッシングメール対策で心がけるべき基礎

 

自分の個人情報が外部やダークウェブで漏れていないかを確認する4つの方法と漏れた場合の対策

 

タイトルとURLをコピーしました