IRS Phishing Emails Used to Distribute Emotet
2023/03/24 InfoSecurity — 悪名高いトロイの木馬 Emotet を配布するために、ルアーとして IRS (Internal Revenue Service:アメリカ合衆国内国歳入庁) を用いる、新たなフィッシング・キャンペーンに、米国の納税者たちが引っかからないよう、セキュリティ専門家たちは警告している。以前から詐欺師たちは、確定申告の季節を消費者を騙す機会として利用しており、Malwarebytes が新たに発見した試みも、その例に漏れない。問題のフィッシング・メールは、”IRS Tax Forms W-9″ という件名を持ち、”IRS Online Center” という送信者アドレスで偽装されている。
このメールの本文に含まれるショート・メッセージには、誤字脱字が散見される。また、709KB の添付ファイル “W-9 form.zip” には、”W-9 form.doc” というタイトルの、548MB の Word ドキュメントが含まれている。Malwarebytes の Malware Intelligence Analyst である Chris Boyd は、このサイズからして怪しいと判断している。
彼は、「500MB以上もある Word 文書はあまり見かけない。実際のところ、500MB のファイル・サイズは、バックグラウンドに Emotet が潜んでいることを示す、潜在的な指標となる。最近のマルウェアの作者は、セキュリティ・ツールによる検出を回避するために、文書のサイズを人為的に大きくしている。つまり、ファイル・サイズが大きいと、セキュリティ・ツールによる適切な分析が困難になるという可能性を突いている」と述べている。
このようなメールを送り付けた詐欺師たちは受信者を説得して、Emotet のダウンロードを許可させるための、マクロの有効化を試みる。
Boyd は、「Emotet は 2014年から存在している。もともとはバンキング型のトロイの木馬として作成され、その後のバージョンでは、マルウェア配信とスパムサービスが追加されている。主に電子メール・スパム・キャンペーンで利用され、小包配送や請求書などを装う偽メールで、感染の拡大を支援してきた」と説明している。
最近の Emotet は、企業に対する今年の脅威 Top-5 に入ると、Malwarebytes により取り上げられている。このボットネットのインフラは、2021年1月に法執行機関により著しく破壊されたが、その後に再浮上し、サイバー犯罪者の人気ツールであり続けている。
Boyd は、納税者は早めに申告を行い、疑わしい還付金や、偽の銀行ポータルサイト、還付金の申告を提示するメールなどに、注意する必要があると述べている。
最近の Emotet に関する動向としては、 2023/03/07 の「Emotet の活動再開を捕捉:2023 大規模キャンーペンのトリックは大容量ファイル?」という記事と、2023/03/18 の「Emotet が本気の戦略シフト:OneNote ファイルを介した配布が始まった」という記事があります。この、アメリカ合衆国歳入庁をフィッシング・ルアーに使うキャンペーンは、500MB の Word とのことなので、前者のキャンペーンに含まれるのかもしれません。よろしければ、Emotet で検索も、ご利用ください。参照 ⇒ 2023 STATE OF MALWARE
IoT OT Security News 
You must be logged in to post a comment.