【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起
目次
1.「株式会社ジャパントラスト 佐々木康人」を名乗るマルウェアメールを確認
1-1.メジャーなウィルス対策ソフトでも検知防御出来ていない可能性があります
1-2.添付されたマルウェアファイルを開いてみました
本日夕刻、「株式会社ジャパントラスト 佐々木 康人」を名乗り、マルウェアと見られるファイルが添付されたメールが比較的広範に送信されている事を確認しました。
本メールでは、差出人メールアドレスのドメインやメール本体に含まれるフッタ情報が実在する企業に偽装されており、また添付ファイルも.doc形式のファイルである事から、メールそのものから不審メールである事を判別する事は比較的困難です。
本添付ファイルは、2017/6/13 18:19現在で、VirusTotalによる検知は3/56です。メジャーなウィルス対策ソフトでも検知防御出来ていない可能性がありますので注意が必要です。
FFRI yaraiでは、先月リリースした最新バージョン(Ver 2.9)では少なくとも検知防御できている事を確認しており、現在、バージョンを遡って検証中です。
本添付ファイルの詳細については現在解析中ですが、.docファイルを開くと、.jsファイルが生成され、最終的に実行ファイルが生成・実行されます。生成された実行ファイルもFFRI yaraiでは検知防御出来ています。
以下のようなリクエストを送信し、マルウェア本体である4999.binをダウンロードしています。
GET hxxp://es[.]alphacreativeentertainment[.]com/4999[.]bin
docファイルを開くと、以下のようなダイアログが表示されます。
OKボタンを押すと、以下のような文書内容が表示されます。
ドキュメントをダブルクリックすると、以下のような警告ダイアログが表示されますが、無視してOKボタンを押すと.jsファイルが生成され、マルウェアと見られる動作を行います。
なお、FFRI yaraiは.jsファイルが生成されて実行された時点でブロックします。
関連記事
大規模サイバー攻撃ランサムウェア「WannaCry」 vs. FFRI yarai
FFRI yaraiは、パターンファイルに依存しない先読み防御検出技術を徹底的に追及した「純国産エンドポイントセキュリティ」です。
FFRI yarai Home and Business Edition は、個人・小規模事業者向け「純国産エンドポイントセキュリティ」です。
最近の記事
特集
アーカイブ
HOME ≫ FFRIセキュリティ BLOG ≫ 2017年 ≫ 2017年6月 ≫ 【速報】「株式会社ジャパントラスト 佐々木 康人」を名乗る不審メールに関する注意喚起