ブログ

FFRI BLOG

【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起

本日夕刻、「株式会社ジャパントラスト 佐々木 康人」を名乗り、マルウェアと見られるファイルが添付されたメールが比較的広範に送信されている事を確認しました。
本メールでは、差出人メールアドレスのドメインやメール本体に含まれるフッタ情報が実在する企業に偽装されており、また添付ファイルも.doc形式のファイルである事から、メールそのものから不審メールである事を判別する事は比較的困難です。



本添付ファイルは、2017/6/13 18:19現在で、VirusTotalによる検知は3/56です。メジャーなウィルス対策ソフトでも検知防御出来ていない可能性がありますので注意が必要です。



FFRI yaraiでは、先月リリースした最新バージョン(Ver 2.9)では少なくとも検知防御できている事を確認しており、現在、バージョンを遡って検証中です。

本添付ファイルの詳細については現在解析中ですが、.docファイルを開くと、.jsファイルが生成され、最終的に実行ファイルが生成・実行されます。生成された実行ファイルもFFRI yaraiでは検知防御出来ています。


以下のようなリクエストを送信し、マルウェア本体である4999.binをダウンロードしています。


GET hxxp://es[.]alphacreativeentertainment[.]com/4999[.]bin


docファイルを開くと、以下のようなダイアログが表示されます。



OKボタンを押すと、以下のような文書内容が表示されます。



ドキュメントをダブルクリックすると、以下のような警告ダイアログが表示されますが、無視してOKボタンを押すと.jsファイルが生成され、マルウェアと見られる動作を行います。



なお、FFRI yaraiは.jsファイルが生成されて実行された時点でブロックします。




関連記事

御社のランサムウェア対策は大丈夫ですか?

大規模サイバー攻撃ランサムウェア「WannaCry」 vs. FFRI yarai

FFRI yarai 製品ページ

FFRI yarai 防御実績

pagetop