Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

活動再開「Emotet」、1000社以上で観測 - 発見遅らせる機能強化も

またCofenseによると、ソーシャルエンジニアリングや技術的な対策など、感染被害の発見を遅らせる複数の手法が実装されていた。

「Emotet」の感染に用いられるメールの添付ファイルは、マクロを含むWordファイルを悪用しており、メールの受信者に対しては、「ドキュメントが保護されている」などとだまし、マクロを有効化させるソーシャルエンジニアリングがこれまでも用いられてきた。

従来はこうした要求に応じてマクロを有効化してしまった際に、受信者が期待する内容が表示されないため、動作の異常に気がつく可能性もあった。しかし、今回の攻撃ではマクロの有効後、エラーの発生を装う「偽ダイアログボックス」の表示機能をあらたに用意。ファイルの中身を表示されない不自然さを、偽のエラーでごまかすカモフラージュにより、発見を遅らせようとしていた。

また「Emotet」本体にも改良が加えられている。従来は単独で動作する「.exe」ファイルだったが、Windowsの正規ファイルより読み込むライブラリファイルとして展開されるようになった。

くわえてコマンド&コントロールサーバとの通信も、従来の平文からバイナリデータに変更。プログラムが分析された場合も、通信先の情報などを取得されないよう手を加えていたという。

(Security NEXT - 2020/12/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

2Qセキュ相談、前四半期比約25%減 - 半減するも依然多い「Emotet」相談
教員私物PCが「Emotet」感染、不正メール送信の踏み台に - 愛媛大
複数新潟県立校で「Emotet」感染 - 「高野連」名乗るメールなどで
5月に勢い増した「Emotet」 - 海外にくらべて高い国内検知率
約800自治体が採用する電子申請のヘルプデスクがEmotet感染
職員3人「Emotet」感染、認証情報窃取されスパム踏み台に - 室蘭工業大
「Emotet」感染、なりすましメールに注意喚起 - 都築電気
「Emotet」感染でアカウント奪われ、大量のメール送信 - 埼大
MSDTのゼロデイ脆弱性、悪用拡大中 - 「QBot」の拡散にも
高齢者支援施設名乗る不審メール出回るもマルウェア感染確認されず - 仙台市