FFRI Security BLOG

【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起

目次


1.「株式会社ジャパントラスト 佐々木康人」を名乗るマルウェアメールを確認
1-1.メジャーなウィルス対策ソフトでも検知防御出来ていない可能性があります
1-2.添付されたマルウェアファイルを開いてみました





本日夕刻、「株式会社ジャパントラスト 佐々木 康人」を名乗り、マルウェアと見られるファイルが添付されたメールが比較的広範に送信されている事を確認しました。
本メールでは、差出人メールアドレスのドメインやメール本体に含まれるフッタ情報が実在する企業に偽装されており、また添付ファイルも.doc形式のファイルである事から、メールそのものから不審メールである事を判別する事は比較的困難です。


株式会社ジャパントラスト佐々木康人のマルウェアと見られるファイルが添付されたメール。





本添付ファイルは、2017/6/13 18:19現在で、VirusTotalによる検知は3/56です。メジャーなウィルス対策ソフトでも検知防御出来ていない可能性がありますので注意が必要です。


VirusTotalによる検知 検証した検体のハッシュ値


FFRI yaraiでは、先月リリースした最新バージョン(Ver 2.9)では少なくとも検知防御できている事を確認しており、現在、バージョンを遡って検証中です。

本添付ファイルの詳細については現在解析中ですが、.docファイルを開くと、.jsファイルが生成され、最終的に実行ファイルが生成・実行されます。生成された実行ファイルもFFRI yaraiでは検知防御出来ています。





以下のようなリクエストを送信し、マルウェア本体である4999.binをダウンロードしています。


GET hxxp://es[.]alphacreativeentertainment[.]com/4999[.]bin

docファイルを開くと、以下のようなダイアログが表示されます。

マルウェア本体である4999.binをダウンロードしてdocを開くと出るダイアログ

OKボタンを押すと、以下のような文書内容が表示されます。


docを開いた状態


ドキュメントをダブルクリックすると、以下のような警告ダイアログが表示されますが、無視してOKボタンを押すと.jsファイルが生成され、マルウェアと見られる動作を行います。


ドキュメントを押すと出て来るダイアログ


なお、FFRI yaraiは.jsファイルが生成されて実行された時点でブロックします。


ドキュメントのダイアログのOKボタンを押してもFFRI yaraiは、.jsファイルが作られる時点でマルウェアのチェックをし、感染をブロックする対策を実行します。

関連記事

御社のランサムウェア対策は大丈夫ですか?

大規模サイバー攻撃ランサムウェア「WannaCry」 vs. FFRI yarai

FFRI yarai 製品ページ

FFRI yarai 防御実績

FFRIセキュリティ SNS

FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。

FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。

  • FFRIセキュリティリソース

    お問い合わせ

    メールマガジン

    FFRIエンジニアブログ

  • 最近の記事

  • 特集

  • アーカイブ

    • HOME  ≫ FFRIセキュリティ BLOG  ≫ 2017年  ≫ 2017年6月  ≫ 【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起

    pagetop