ランサム「Locky」が活動再開か - Wordファイル入りPDFで拡散
2016年に国内でも多数観測されたランサムウェアの「Locky」だが、再びあらたな活動が複数のベンダーによって観測されている。
PhishMeでは、「Locky」の感染を目的としたスパムの拡散を4月21日に確認。今回の感染活動では、従来とは異なり、Officeのマクロファイルを利用。不正送金マルウェアとして知られる「Dridex」の拡散方法と類似していると指摘している。
攻撃に利用されたファイルを解析したKaspersky Labによれば、メールへ添付されていたファイルは、PDFファイルを使用。外部よりファイルをダウンロードするVBAマクロを含むWordファイルがPDFファイルへと埋め込まれていた。
PDFファイルを開くと、Wordファイルが開くしくみで、その際に誤って「編集を有効にする」ボタンをクリックすると、ダウンロードされたランサムウェアによりファイルが暗号化される。暗号化後に追加される拡張子は「.osiris」だった。
今のところ、今回の攻撃キャンペーンで日本語を用いたスパムメールは確認されていないという。しかし、暗号化後に金銭を要求するページは、日本語を含む31カ国語に対応していた。
また今回の攻撃では、国内の一部サーバが踏み台に悪用されていた。問題のサーバは、2016年9月より改ざんされた状態が続いていると見られている。
(Security NEXT - 2017/04/28 )
ツイート
PR
関連記事
委託先がランサム被害、ECサイト利用者に影響 - アテックスHD
ランサム攻撃によりサーバやPCが被害 - 建設資材機械設備メーカー
工場向けMOMシステム「DELMIA Apriso」脆弱性 - 米当局が悪用に注意喚起
「情報セキュリティ白書2025」PDF版を先行公開 - 書籍は9月30日発売
ランサム被害が発生、製品出荷などに影響 - 業務用加湿器メーカー
ランサム被害で出荷停止、2日後より順次再開 - オオサキメディカル
ランサム攻撃でサーバやPC30台が被害 - 清掃用品メーカー
教員VPNアカウント悪用され侵入、不審検索履歴から発見 - 芝工大
サーバがランサム感染、情報流出は調査中 - ソフトウェア開発会社
ファイルサーバがランサム被害、データが暗号化 - 青果流通会社
