Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

恥ずかし画像詐欺とランサム攻撃が融合 - 「証拠動画」のリンクにワナ

実在しないにも関わらず、盗撮した画像や動画の公開をちらつかせ、金銭をだまし取る詐欺が発生しているが、さらにランサムウェアへの感染も試みるあらたな攻撃が確認された。セキュリティベンダーやセキュリティ機関が警戒を呼びかけている。

マルウェアをしかけて端末の制御を奪い、内部の個人情報を奪ったほか、アダルトサイトの閲覧姿を撮影したなどと騙して仮想通貨による金銭の支払いを要求する詐欺に関連し、あらたな攻撃が確認されたもの。

従来の攻撃では、インターネット上へ流出したと見られるパスワードを記載し、端末を侵害したことを事実のように見せかけたり、SNSをはじめとする公開情報から入手したと見られるパートナーや雇用者、職業などを示して信用させ、金銭を脅し取ろうとしていたが、メールの内容がさらに悪質化しているという。

攻撃を確認したProofpointによれば、12月5日ごろより米国を中心に攻撃キャンペーンが展開されており、不安を煽った上でランサムウェアへ感染させることを狙っていた。

20181212_pp_001.jpg
攻撃に用いられた文面の一部(画像:Proofpoint)

メールの本文では、従来どおり端末を侵害し、盗撮を行ったなどと説明するが、今回の攻撃では証拠を示すプレゼンテーション動画も用意したなどと主張。

PowerPointファイルへのリンクなどとして外部へ誘導するが、実際はマルウェア「AZORult」へ感染させることを目的としたURLで、最終的にはランサムウェアの「GandCrab」に感染するという。

また今回の攻撃ではリンクのクリック状況などを取得して受信者の行動を観察しており、より効果的なソーシャルエンジニアリングの手法を模索している動きも見られた。

JPCERTコーディネーションセンターは、類似した文章を用いる詐欺メールはこれまでも流通していたが、ランサムウェアへの感染を狙うケースは、今回はじめて報告されたと指摘。

悪用されたランサムウェア「GandCrab」についても、一部バージョンは復号化ツールがリリースされているものの、今回利用された「バージョン5.0.4」について、は復号化ツールは用意されていないとし、注意を呼びかけている。

(Security NEXT - 2018/12/12 ) このエントリーをはてなブックマークに追加

PR

関連記事

RaaSで拡散するランサムウェア「Paradise」に復号化ツール
高校のサーバがランサム感染、学習成果物など被害 - 川崎市
ランサム「STOP Djvu」に復号ツール - サイドチャネル攻撃で解析
ランサム「HildaCrypt」に復号ツール - 開発者が復号キーを提供
インシデント調査の26%がランサム被害 - 詳細調査で3割強よりAPT痕跡
新種ランサム118%増、再流行の兆候 - PowerShellマルウェアは5.6倍に
ランサム身代金、FBIは支払いに否定的ながらも一定の理解
米政府、北朝鮮関与攻撃グループに経済制裁措置
ランサム「Yatron」「FortuneCrypt」の復号化ツールが公開
2019年上半期の攻撃、前期の3倍以上に - F-Secureまとめ