Tag Archives: Trojan Horse

Sophisticated Google Drive Phishing Scam Returns

Hacker Medic May 21, 2014 No Comments

Google Drive phishing page served over SSL from the legitimate Google Drive service itself.
Read more…

??????????????????????? Internet Explorer 10 ????????

Hacker Medic February 25, 2014 No Comments

先週のブログで、最近の水飲み場型攻撃で Internet Explorer 10 の新しいゼロデイ脆弱性が悪用されていることをお伝えしました。攻撃者が悪用したのは、これまで見つかっていなかったゼロデイ脆弱性、「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」（CVE-2014-0322）です。先週の時点では、攻撃者は特定のユーザーだけを狙って、侵入先のサイトを通じてゼロデイ脆弱性に対する悪用コードを送信していました。その後も CVE-2014-0322 を狙った攻撃を注意深く監視を続けた結果、シマンテックは、この脆弱性を利用した攻撃が APT（Advanced Persistent Threat）に限らなくなっている傾向を確認しています。このゼロデイ攻撃の標的が一般のインターネットユーザーにも拡大しつつあるということです。シマンテックはこの攻撃をドライブバイダウンロード型と見なしていますが、これも驚くほどのことではありません。脆弱性の悪用コードは広く公開されているため、誰でもコードを手に入れて独自の目的に再利用できてしまうからです。

シマンテックの遠隔測定によると、ゼロデイ攻撃の試みは大きく増加しており、2 月 22 日以降、多くの国や地域のユーザーを標的として劇的に増加しています。また、遠隔測定では、標的型攻撃とドライブバイダウンロードの両方が混在していることがわかります。

IE 10 zero day 1.png

図 1. CVE-2014-0633 を悪用する攻撃の分布図

特に、日本のサイトにアクセスするユーザーが標的となっています。これは、複数のサイトが侵害され、ドライブバイダウンロードのホストとして利用されていることが主な原因です。今回の攻撃では、以下のサイトが侵入を受けています。

登山者を対象としたコミュニティサイト
出会い系アダルトサイト
言語教育を推進するサイト
金融市場の情報を提供する Web サイト
オンラインショッピングサイト
日本の旅行代理店の Web サイト

攻撃に使われているコンポーネントから判断すると、ほとんどの攻撃は同一の攻撃者が仕掛けたものと考えられます。

IE 10 zero day 2 edit.png

図 2. CVE-2014-0322 悪用コードの標的になったコンピュータの地域分布

これらの Web サイトは、Internet Explorer のゼロデイ脆弱性に対する悪用コードをホストするように改ざんされたか、悪用コードをホストしている別の侵入先サイトにリダイレクトする iframe が挿入されて更新されていました。攻撃に成功すると、悪用コードによって、オンラインバンキングを狙うトロイの木馬が投下され、これがみずほ銀行とゆうちょ銀行のログイン情報を盗み出そうとします。シマンテックは、この脅威を Infostealer.Bankeiya として検出します。

IE 10 zero day 3.png

図 3. トロイの木馬が表示する、みずほ銀行の偽の画面（ログイン後）

図 4. トロイの木馬が表示する、ゆうちょ銀行の偽の画面（ログイン後）

今回の攻撃への対応策

この脆弱性を修正するセキュリティ更新プログラムはまだ提供されていませんが、Microsoft 社は、この脆弱性を悪用する攻撃からコンピュータを保護するために、以下の対応策を推奨しています。

Internet Explorer 11 にアップグレードする
Microsoft Fix it 修正ソリューションをインストールする

また、関連するパッチが公開され次第、速やかに適用することもお勧めします。シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

ウイルス対策

侵入防止シグネチャ

この脆弱性を悪用する攻撃は今後も増加傾向が続くと予測されるため、ただちに対策を実施するようにしてください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Internet Explorer 10 Zero-Day Vulnerability Exploited in Widespread Drive-by Downloads

Hacker Medic February 25, 2014 No Comments

Earlier this month we blogged about a new Internet Explorer 10 zero-day vulnerability that was targeted in a recent watering hole attack. The attackers took advantage of a previously undiscovered zero-day flaw known as the Microsoft Internet Explorer Use-After-Free Remote Code Execution Vulnerability (CVE-2014-0322). At the time, the attackers delivered the exploit code for the zero-day vulnerability through compromised sites, intending to target a limited audience. Since then, we have continued to closely monitor attacks focusing on CVE-2014-0322. We’ve observed trends suggesting that attacks targeting this vulnerability are no longer confined to advanced persistent threats (APT) — the zero-day attacks are expanding to attack average Internet users as well. We refer to these attacks as drive-by downloads. This is not a surprising result, as the vulnerability’s exploit code received a lot of exposure, allowing anyone to acquire the code and re-use it for their own purposes.

Our internal telemetry shows a big uptick in attempted zero-day attacks. The attacks started to increase dramatically from February 22, targeting users in many parts of the world. Our telemetry shows both targeted attacks and drive-by downloads in the mix.

IE 10 zero day 1.png

Figure 1. Attacks targeting CVE-2014-0322 around the world

Users visiting Japanese sites have particularly been targeted. This is mainly because multiple sites were compromised to host the drive-by download. The following sites were compromised in these attacks.

A community site for mountain hikers
An adult dating service site
A website promoting language education
A website providing financial market information
An online shopping site
A website of a Japanese tour provider

We believe that the same attacker undertook the majority of the attacks, based on the file components used.

IE 10 zero day 2 edit.png

Figure 2. Computers targeted with CVE-2014-0322 exploit code by region

These websites either were modified to host the exploit code for the Internet Explorer zero-day vulnerability or were updated with the insertion of an iframe that redirects the browser to another compromised site hosting the exploit code. If the attack is successful, the exploit drops a banking Trojan that steals login details from certain banks. Symantec detects this threat as Infostealer.Bankeiya.

IE 10 zero day 3.png

Figure 3. Fake login screen for Mizuho Bank asking for a pin number

How to stay protected from the attacks

Microsoft has yet to provide a security update to patch the affected vulnerability. However, the company has offered the following solutions to help users protect their computers from exploits that take advantage of this vulnerability:

Upgrade to Internet Explorer 11
Install the Microsoft Fix it workaround solution

Symantec also encourages users to apply all relevant patches when they are available. Symantec protects customers against this attack with the following detections:

Antivirus

Intrusion Prevention Signatures

We will likely to continue to see an uptick in attacks exploiting this vulnerability, so we urge everyone to take action immediately.

Adobe Flash ????????????????????????????

Hacker Medic February 24, 2014 No Comments

ゼロデイ脆弱性を悪用する水飲み場型攻撃が、さらに広がりつつあります。シマンテックは先週、Internet Explorer 10 のゼロデイ脆弱性が水飲み場型攻撃に悪用されていることをお伝えしましたが、それからちょうど 1 週間後、今度は Adobe Flash Player と Adobe AIR に存在するリモートコード実行の脆弱性（CVE-2014-0502）が、やはり水飲み場型攻撃で悪用されていることが確認されました。この新しい攻撃は、さまざまなメディアで「Operation GreedyWonk」と呼ばれており、3 つの NPO 団体の Web サイトを標的にしていると報じられています。シマンテックの遠隔測定によると、新しいゼロデイ脆弱性を悪用するこの水飲み場型攻撃では、ほかにも多くのサイトが標的になっていることが判明しました。

図 1. Adobe Flash のゼロデイ脆弱性を悪用する水飲み場型攻撃

攻撃の手口

今回の攻撃に使われているのも、水飲み場型攻撃として知られる手法です。被害者がアクセスした Web サイトは、標的を別の Web サイト（giftserv.hopto.org）にリダイレクトするために攻撃者によって侵害され、iframe が仕込まれています。リダイレクト先のサイトでは悪質な index.php ファイル（Trojan.Malscript）が読み込まれ、このファイルによって標的のシステムが 32 ビットか 64 ビットかが判定されます。この判定結果に応じて、攻撃者のサーバーにホストされている 32 ビットまたは 64 ビットのいずれかのフォルダから、悪質な index.html ファイル（これも Trojan.Malscript として検出されます）と追加コンポーネントがダウンロードされます。悪質な index.html は次に cc.swf という Adobe Flash ファイル（Trojan.Swifi）を読み込み、これにゼロデイ脆弱性が存在します。悪用に成功すると、暗号化されたシェルコードを含む logo.gif という画像ファイルがダウンロードされ、このシェルコードによって悪質なペイロード server.exe（Backdoor.Jolob）がダウンロードされ実行されます。

今回の攻撃に対する防止策と緩和策

インストールされている Adobe 製品を最新バージョンに更新して、この脆弱性に緊急に対処することをお勧めします。ソフトウェアのアップグレード方法について詳しくは、Adobe Security Bulletin を参照してください。

シマンテック製品をお使いのお客様は、以下の検出定義によって今回のゼロデイ攻撃から保護されています。

ウイルス対策

侵入防止シグネチャ

Web Attack: Malicious SWF Download 22

また、いつものことですが、このような攻撃から保護するために、シマンテックの最新技術をお使いいただき、シマンテックのコンシューマ向けまたはエンタープライズ向けの最新ソリューションを導入してください。

衰えを見せない水飲み場型攻撃

水飲み場型攻撃が、特定の個人を標的にした攻撃者の間で多用され続けていることは、今回の事例からも明らかです。ゼロデイ脆弱性が次々と悪用されていることを考えると、攻撃者が使える武器は無尽蔵とも言えます。複数の Web サイトで Adobe Flash のこの脆弱性が確認されていますが、送信されているペイロードはそのすべてで異なります。今回のゼロデイ悪用コードが多くの攻撃者に販売されている可能性や、あるいは単独の攻撃者が複数の攻撃キャンペーンを仕掛けている可能性があります。シマンテックは、最善の保護対策を提供できるように、この攻撃の調査を続ける予定です。

図 2. 水飲み場型攻撃の手口

New Flash Zero-Day Linked to Yet More Watering Hole Attacks

Hacker Medic February 21, 2014 No Comments

Watering hole attacks using zero-day vulnerabilities are becoming more common. Last week we announced an Internet Explorer 10 zero-day being used in a watering hole attack and today, just one week later we have an Adobe Flash zero-day, Adobe Flash Player and AIR CVE-2014-0502 Remote Code Execution Vulnerability (CVE-2014-0502), also being used in a watering hole attack. This new attack has been dubbed “Operation GreedyWonk” in various media and is reported to be targeting the websites of three non-profit institutions. Symantec telemetry shows even more sites being targeted in this watering hole attack using this new zero-day.

Figure 1. Watering hole attack using Adobe Flash 0-day

Anatomy of the attack

This attack technique is known as a watering hole attack. In this case the target visits a compromised website that contains an IFrame inserted by the attackers in order to redirect the target to another website (giftserv.hopto.org). This new site loads a malicious index.php file (Trojan.Malscript) which checks whether the victim is running a 32-bit or 64-bit system. Depending on the results, a malicious index.html file (also Trojan.Malscript) and additional components are also downloaded from either the 32-bit or 64-bit folders hosted on the attacker’s server. The malicious index.html file then loads the cc.swf Adobe Flash file (Trojan.Swifi) containing the zero-day. Once exploited, a logo.gif image file is downloaded containing encrypted shellcode which downloads and executes the malicious server.exe (Backdoor.Jolob) payload.

How can I prevent and mitigate against this attack?

Symantec recommends users update their Adobe product installations to the latest versions to address this critical vulnerability. Details of how to upgrade software are available in an Adobe Security Bulletin.

Symantec customers are protected from this zero-day attack with the following detections:

Antivirus

Intrusion Prevention Signatures

Web Attack: Malicious SWF Download 22

As always, we also advise customers to use the latest Symantec technologies and incorporate the latest Symantec consumer and enterprise solutions to best protect against attacks of any kind.

Watering hole attacks remain popular

This latest watering hole attack demonstrates that it remains a popular technique for attackers to target individuals of interest. The use of yet another zero-day indicates the arsenal available to attackers shows no signs of depletion. Multiple websites have been identified using this Adobe Flash zero-day, all with different payloads being delivered. This may be the result of this particular zero-day being sold to a number of different attackers, or possibly that it was used by a single attacker in multiple campaigns. Symantec continues to investigate this attack to ensure that the best possible protection is in place.

Figure 2. Anatomy of a watering hole attack

????????????? Internet Explorer 10 ???????????

Hacker Medic February 17, 2014 No Comments

先日のブログで、Internet Explorer 10 に影響するゼロデイ脆弱性の悪用の可能性が確認されたという報告について調査していることをお伝えしましたが、この新しいゼロデイ脆弱性「Microsoft Internet Explorer の解放後使用によるリモートコード実行の脆弱性」（CVE-2014-0322）を悪用する攻撃について詳細が判明しました。

図. IE 10 のゼロデイ脆弱性を悪用する水飲み場型攻撃

攻撃の手口

この水飲み場型攻撃で標的になったのは、vfw.org（海外戦争復員兵協会）の Web サイトです。攻撃の活動中にこのサイトにアクセスすると、攻撃者によって挿入された iframe により、危殆化した第 2 のページ（aliststatus.com でホストされています）がバックグラウンドで読み込まれます。iframe である img.html ファイルが tope.swf という悪質な Flash ファイルを読み込み、そこで Internet Explorer 10 の脆弱性が悪用されます。シマンテックは、悪質な iframe を Trojan.Malscript として、また悪質な SWF ファイルを Trojan.Swifi として検出します。

SWF ファイルによって脆弱性が悪用されると、aliststatus.com ドメインから次のダウンロードが実行され、ペイロードの最終段階が開始されます。ここで最初にダウンロードされるのは、erido.jpg という名前の PNG 画像ファイルです（Trojan Horse として検出されます）。この画像ファイルに埋め込まれている複数のバイナリが、SWF ファイルによって実行されるシェルコードによって抽出されます。埋め込まれているバイナリは sqlrenew.txt と stream.exe です。sqlrenew.txt は、その名前とは違い実際には DLL ファイルであり、同じく Trojan Horse として検出されます。stream.exe は Backdoor.Winnti.C として検出されます。

SWF ファイルに含まれるコードが DLL ファイル sqlrenew.txt の読み込みを実行し、この時点で DLL が処理を引き継いで、最終的なペイロードである stream.exe を起動します。このサンプルは、攻撃者が制御する newss.effers.com サーバーへの接続を実行します。

過去の攻撃との関連性

調査を進める過程で明らかになったデータから、今回の攻撃は、シマンテックが Hidden Lynx（謎の山猫）と呼んでいる悪質なグループと関係することが示唆されます。Backdoor.Moudoor を使ったこのグループによる以前の攻撃で確認されたインフラが今回も使われていることが、データに示されています。

今回の攻撃に対する防止策と緩和策

Internet Explorer 10 を使っていないユーザーや、Mac OS 向けのブラウザを使っているユーザーは、この脆弱性の影響を受けません。Windows で Internet Explorer 10 を使っている場合には、別のブラウザを使うか、Microsoft の Enhanced Mitigation Toolkit（EMET）をインストールする、またはブラウザを新しいバージョンにアップグレードするなどの緩和策が考えられます。また、関連するパッチが公開され次第、速やかに適用することもお勧めします。

シマンテック製品をお使いのお客様は、以下の検出定義によってこの攻撃から保護されています。

ウイルス対策

侵入防止シグネチャ

シマンテックの遠隔測定によると、ペイロードの一部は以下のヒューリスティック検出定義によって各段階で検出されていることも判明しています。

New Internet Explorer 10 Zero-Day Discovered in Watering Hole Attack

Hacker Medic February 14, 2014 No Comments

In an earlier blog, Symantec highlighted that we were investigating reports of a zero-day exploit affecting Internet Explorer 10 in the wild. Now we have further details on the attack leveraging this new zero-day, Microsoft Internet Explorer CVE-2014-0…

The Mask???????

Hacker Medic February 12, 2014 No Comments

The Mask 1.png

最近のサイバースパイ活動は、その精巧さと専門性がたびたび明らかになっています。2 月 10 日に Kaspersky 社が報告した「The Mask（ザ・マスク）」と呼ばれるサイバースパイグループも例外ではありません。シマンテックが The Mask について調査したところ、このグループは 2007 年に活動を開始しており、きわめて高度なツールや技術を使って侵入先の標的を危殆化し、監視しながらデータを密かに引き出すことが判明しました。The Mask は非常に高度な悪用コードと巧妙に細工された電子メールを使って、無防備な犠牲者にワナを仕掛けます。The Mask のペイロードは、Windows、Linux、Macintosh など代表的なオペレーティングシステムすべてを対象にしています。

The Mask で興味深いのは、スペイン語圏を標的にしており、ツールもそれを意図して設計されているという点で、標的は主にヨーロッパや南米のユーザーのようです。

活動の息が長いこと、きわめて高度なツールを利用していること、そして的確に被害者を狙っていることから、これは熟練度も組織力も非常に高いグループであり、リソースも潤沢であることが伺えます。

標的の特定
The Mask は通常、高度な標的型電子メールで被害者に感染します。添付が確認されているのは、CV（履歴書）や政治的な内容を餌にした悪質な PDF 文書や Microsoft Word 文書です。添付ファイルに使われているファイル名の例を以下に挙げます。

Inspired By Iceland.doc
DanielGarciaSuarez_cv_es.pdf
cv-edward-horgan.pdf

添付ファイルを開くと、正規の文書に見える内容が表示されますが、実際には悪質なリモートアクセス型のトロイの木馬（RAT）もインストールされ、侵入を受けたコンピュータへの完全なアクセスを許してしまいます。侵入に成功すると、The Mask は追加のツールをインストールし、持続性を強化してサイバースパイ活動を続けられるようになります。

サイバースパイ – 専門的なツール類
The Mask は、自由に使える一連のツール類を所有しています。なかでも、このグループを典型的なサイバー犯罪とかけ隔てている特徴と言えるのが、Backdoor.WeevilB というツールです。これは、モジュール型の性質とプラグインアーキテクチャを備えた高度なサイバースパイツールであり、無数の設定オプションが用意されています。Duqu、Flamer、MiniDuke といった他の高度な攻撃活動を連想させますが、The Mask がそれらの活動と関連している証拠は見つかっていません。

デフォルトで、相互通信、ネットワーク盗聴、活動監視、データ抽出、ルートキット機能などに特化した 20 近いモジュールがインストールされます。

The Mask 2.png

図. The Mask のモジュールの一部

追加モジュールのダウンロードと即時のロードは、プラグインアーキテクチャによって実現されています。Backdoor.WeevilB は主要なブラウザのすべてにおける活動をログに記録し、膨大な拡張子のリストに基づいて情報を収集します。Backdoor.WeevilB の標的となる文書の種類は、以下のとおりです。

Word、PDF、Excel
暗号化ファイル、PGP キー、暗号化キー
モバイルバックアップファイル
電子メールアーカイブ

収集された情報は、HTTPS プロトコルを使って、攻撃者が管理するサーバーに安全に送信されます。

データを盗み出すコンポーネントが、The Mask の標的に関する手掛かりになっています。「archivos de programa」のようなスペイン語のパス名で文書を検索していることから、標的ではスペイン語のオペレーティングシステムが実行されていると考えられます。

まとめ
専門的なチームが展開するサイバースパイ活動は、増加傾向にあります。この数年の間で、Flamer、MiniDuke、Hidden Lynx といった何年間も持続するスパイ活動がいくつも明らかになってきました。The Mask も、こうした名だたるマルウェアに連なるものですが、高度な攻撃活動の標的が多様化していることも示しています。これらの攻撃と時を同じくして、スパイ活動に使われるツールを開発する企業も登場しており、Hacking Team や Gamma International といった企業が、高度な監視機能を持つリモートアクセスツール群を販売しています。こうしたことからも、地理的にも技術的にもサイバースパイ活動が広がりつつあることは明白です。

保護対策
シマンテックは、この脅威に対して以下の検出定義を提供しています。

また、次の侵入防止シグネチャでネットワーク保護も提供しています。

System Infected: Backdoor.Weevil Activity

The Mask

Hacker Medic February 10, 2014 No Comments

The Mask 1.png

Modern cyberespionage campaigns are regularly defined by their level of sophistication and professionalism. “The Mask”, a cyberespionage group unveiled by Kaspersky earlier today, is no exception. Symantec’s research into this group shows that The Mask has been in operation since 2007, using highly-sophisticated tools and techniques to compromise, monitor, and exfiltrate data from infected targets. The group uses high-end exploits and carefully crafted emails to lure unsuspecting victims. The Mask has payloads available for all major operating systems including Windows, Linux, and Macintosh.

An interesting aspect of The Mask is the fact that they are targeting the Spanish-speaking world and their tools have been specifically designed for this. The targets appear to reside mainly in Europe and South America.

The longevity of the operation, the access to highly sophisticated tools, and the precise and targeted nature of the victims indicate this is a very professional, well organized team with substantial resources.

Targeting the victim
The Mask typically infects the victim with a highly targeted email. Using the lure of a CV (resume) or political content, the attachments observed have been in the form of malicious PDF or Microsoft Word documents. The following is a sample of some of the attachment names used:

Inspired By Iceland.doc
DanielGarciaSuarez_cv_es.pdf
cv-edward-horgan.pdf

Upon opening the document, the recipient is presented with what looks like a legitimate document, however a malicious remote access Trojan (RAT) is also installed, allowing full remote access to the compromised computer. Once compromised, The Mask can then install additional tools for enhanced persistence and cyberespionage activities.

Cyberespionage – a professional suite
The Mask has a suite of tools at its disposal. One tool in particular distinguishes this group from typical cyber operations. Backdoor.WeevilB, a sophisticated cyberespionage tool that is modular in nature, has a plugin architecture and has a myriad of configuration options. This tool is reminiscent of those associated with other sophisticated campaigns such as Duqu, Flamer, and MiniDuke. However there is no evidence that The Mask is associated with these campaigns.

The default install boasts nearly 20 modules purpose built for intercommunication, network sniffing, activity monitoring, exfiltration, and rootkit capabilities.

The Mask 2.png

Figure. Some of The Mask’s modules

The plugin architecture allows for additional modules to be downloaded and loaded on the fly. The Trojan can log activity in all the major browsers and has a comprehensive list of file extensions to gather information on. The types of documents targeted by the Trojan are:

Word, PDF, Excel
Encrypted files, PGP keys, encryption keys
Mobile backup files
Email archives

The information can then be securely exfiltrated to attacker controlled servers using the HTTPS protocol.

The data-stealing component provides clues as to The Mask’s targets. It searches for documents in Spanish-language pathnames, for example “archivos de programa”, indicating that their targets are running Spanish-language operating systems.

Conclusion
Cyberespionage campaigns conducted by professional teams are increasingly common. Numerous espionage operations spanning years have been highlighted over the last few years. Examples include Flamer, MiniDuke, and Hidden Lynx. The Mask joins this notorious list but also shows how the targets of these sophisticated campaigns are becoming increasingly diverse. Coinciding with these campaigns has been the emergence of companies who develop tools for use in espionage campaigns. Companies such as Hacking Team and Gamma International provide remote access suites that offer sophisticated surveillance capabilities. All of this serves to highlight how the geographical and technical boundaries of cyberespionage are expanding.

Protection
Symantec has the following detection in place for this threat.

Backdoor.Weevil
Backdoor.Weevil.B
WS.SecRiskOther.1
WS.Reputation.1
Trojan.Horse

We also provide network protection with the following Intrusion Prevention Signature:

System Infected: Trojan.Weevil Activity

?????????????????????????????????????

Hacker Medic February 7, 2014 No Comments

ポール・ウォーカーさんが交通事故で亡くなったのは、ほんの数カ月前のことです。最近では、スパマーやマルウェア作成者が有名人の死亡記事を悪用してマルウェアを拡散する手口が多用されています。今回の場合、始まりはポール・ウォーカーさんの車が炎上している動画へのリンクを記載した電子メールですが、そこには悪質なファイルへのリンクが含まれています。

最近大量に確認されている電子メールの場合、送信者は、ウォーカーさんとカーレースをしていたとされているダッジバイパー GT を発見しようと訴えています。この電子メールでは、情報を持っていたらそこに書かれた番号に電話するように、そうでなければ添付されているファイルを開いてバイパー GT の運転手の画像を確認するよう求めます。シマンテックが確認したどのサンプルでも、バイパー GT の運転手の特定につながった場合に費用の精算や報奨金が約束されている点は同じです。

今回の攻撃の特徴は、スパムフィルタをすり抜けるために件名と本文が定期的に書き換えられている点にあります。攻撃者は、本文や件名、添付ファイルの名前に受信者の名前を使って、電子メールを特定の個人宛てのものに見せようとしているのです。

実行可能ファイルはそれぞれ、送信先の電子メールアドレス専用に作成され、送信の直前にコンパイルされています。送信者の電子メールアドレスは必ず aol.com の電子メールアカウントであり、ハッキングまたは他の方法で危殆化したもののようです。これに感染してしまうと、アドレス帳からアドレスが収集されて、さらに別の個人宛ての電子メール攻撃が連続します。

図 1. 悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール（2014 年 1 月 30 日付）

図 2. 悪質なファイルが添付されている、ポール・ウォーカーさんの死亡記事を悪用した電子メール（2014 年 1 月 31 日付）

悪質なファイルを実行すると、このファイルを実行するには 32 ビットまたは 64 ビットのコンピュータが必要であるというエラー通知が送信されます。また、ファイルを実行する十分な権限がないとも書かれていますが、実際にはマルウェアがバックグラウンドで実行され続けています。このトロイの木馬は、名前の似たドメインのリストを使った DNS クエリーを実行し、DNS クエリーの戻り値を取得すると、その URL に接続して、次のディレクトリにファイルをダウンロードします。

“%UserProfile%\Application Data\amhldfbyjmg\kskzjmtypb.exe”

ファイル（kskzjmtypb.exe）がダウンロードされると、それを実行して p9p-i.geo.vip.bf1.yahoo.com に接続し、今度は qr1aon1tn.exe をダウンロードします。この実行可能ファイルが実行されると、次のファイルが投下されます。

“%UserProfile%\Application Data\amhldfbyjmg\fdxeuzv.exe”

シマンテックは、このマルウェアを Trojan Horse として検出します。

今後も詐欺メールには十分に警戒し、以下の基本的なセキュリティ対策（ベストプラクティス）に従うことをお勧めします。

迷惑メールや予想外のメール、疑わしいメールを受信した場合には注意する。
迷惑メールや予想外のメール、疑わしいメールに記載されているリンクはクリックしない。
迷惑メールや予想外のメール、疑わしいメールに添付されているファイルは開かない。
セキュリティソフトウェアを常に最新の状態に保つ。
スパム対策シグネチャを定期的に更新する。

シマンテックでは、最新の脅威に関する最新の情報をお届けできるよう、常時スパムの監視を続けています。