新型コロナウィルスに関する内容を装ったEmotetの感染活動
新型コロナウィルスに関連した肺炎患者について、増加の一途をたどっています。
1月29日時点で、中国の保健当局の発表によると、患者数は7711人、死者は170人だとのことです。
https://www3.nhk.or.jp/news/html/20200130/k10012264951000.htmlwww3.nhk.or.jp
日本にチャーター機で帰国した日本人のうち3名が、新たに新型コロナウィルスへの感染を確認されているとのことです。
https://www3.nhk.or.jp/news/html/20200130/k10012264981000.htmlwww3.nhk.or.jp
そんな中、きわめて不謹慎なスパムメールが観測されています。
スパムメールはマルウェアEmotetを配布するもので、昨年の秋ごろから活動が再開されています。
Emotetに関しては、以前に記事をまとめているので、ご確認ください。
過去の配布手法
Emotetの配布には、時事ネタを含めて、感染を誘発する手法がたびたび用いられています。
ある時はハロウィンパーティーを装い
ある時はクリスマスパーティを装い
ある時は賞与支払いを装い
またある時は、スウェーデンの環境活動家グレタ・トゥーンベリさんへの寄付を呼びかけ
手を変え、品を変え、感染を試みています。
今回確認されたメール文面
Emotetの調査を行っている国内のリサーチャーのTwitterでは以下のようにメールの本文が紹介されています。
新型コロナウイルス関連をテーマにした #emotet のばらまきメール。
— bom (@bomccss) 2020年1月29日
昨日と本日で確認どちらも日本語に違和感はありません。
■件名
添
■添付ファイル
別添.doc
■件名
別添 01.29
■添付ファイル
取扱説明書.doc pic.twitter.com/r6Ra3eZf2l
文章自体、日本人が見ても違和感がないですし、しかるべき人が受信した場合、開いてしまってもおかしくなさそうです。
ただ、リサーチャーの方がおっしゃる通り、タイトルと添付ファイル名は、違和感がありますね。
I think the text was stolen. However, Japanese in the subject and file names is strange. Also, it has been received by multiple organizations and is considered to be used as a theme. Email of the same type is on the rise.
— bom (@bomccss) 2020年1月29日
添付された文書ファイルのマクロを有効にすることで、PowerShellが実行され、バックグラウンドでEmotetがダウンロードされます。
一連の挙動については、マルウェアサンドボックスVMrayなどにも記載があるので、ご確認ください。
4c9e35f3...cccb | VMRay Analyzer Report
まとめ
今回は、速報ベースで、Emotetの新たな活動について、記載しました。
その手法も、より高度になってきているため、より一層の注意が必要になってきますね。
そもそも、メールという手段に限界がある気もしますが。。。