Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

偽日本郵政メールで不正送金マルウェアに感染 - 「Racuten」にも注意

日本郵政を装い、「小包が配達できなかった」などとだまして添付ファイルを開かせる悪質なメールが流通しているが、不正送金マルウェア「Rovnix」の感染活動の一環であることがわかった。「Racuten」を装うケースも確認されている。

問題のメールは、差出人を「日本郵政」や「JAPAN POST」などと装い、「小包が配達できなかった」などと騙して「委託運送状」と称する添付ファイルを開かせようとしていた。

添付ファイルは、zipにより圧縮されており、中身のファイルはPDFファイルを偽装しているが、実際は制御文字「RLO」により文字の順番を入れ替えたスクリーンセーバーファイル(scrファイル)だった。

2月14日以降に検出の増加を観測しているトレンドマイクロによれば、同ファイルを誤って開くとHTTPS通信により、不正な証明書などとともにマルウェア「Rovnix」へ感染するという。

「Rovnix」は数年前より流通しているトロイの木馬。「Cidox」「Carberp」「Vundo」といった名称でも知られており、2015年12月に国内金融機関を標的とした攻撃が確認されている。感染端末からインターネットバンキングのログインページへアクセスすると、外部から読み込んだ不正なスクリプトを埋め込み、ログインページを改ざんする。

トレンドマイクロによれば、今回のケースでは、都市銀行をはじめ、地方銀行、信用金庫、さらに共同のオンラインバンキングシステムなど、30のサイトを標的としていた。

またシマンテックでは、ローンやオンラインショッピングなどを装い、「Rovnix」を感染させようとするメールを検知しており、楽天を装ったと見られる「Racuten Japan」を発信元としたメールを確認した。同メールでも、注文の品物を返送したなどと説明し、「委託運送状」などとして添付ファイルを開かせようとしていたという。

(Security NEXT - 2016/02/19 ) このエントリーをはてなブックマークに追加

PR

関連記事

ネットバンク利用者3割強が2要素認証を利用 - MMD調査
2回目の特別定額給付金? 実際は情報盗む偽サイトへの誘導メール
警察庁、キャッシュレス決済サービスの不正出金で注意喚起 - 便乗詐欺にも警戒を
「Emotet」対策でパスワード付きzip添付ファイルのブロックを推奨 - 米政府
8割超のユーザーがパスワードを使い回し - 「忘れてしまう」「面倒」
【不正チャージ問題】金融機関口座の取引履歴、「合算」表示に注意を
決済サービス連携で2017年7月以降380件約6000万円の被害申告 - ゆうちょ銀
ネット利用者半数超、パスワード文字数「8文字以下で安全」
2020年2Q、不正送金被害額が約1.7倍に拡大
宅配便の不在通知を装うスミッシングに注意 - ダイナミックDNSを悪用