Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

活動再開「Emotet」、1000社以上で観測 - 発見遅らせる機能強化も

またCofenseによると、ソーシャルエンジニアリングや技術的な対策など、感染被害の発見を遅らせる複数の手法が実装されていた。

「Emotet」の感染に用いられるメールの添付ファイルは、マクロを含むWordファイルを悪用しており、メールの受信者に対しては、「ドキュメントが保護されている」などとだまし、マクロを有効化させるソーシャルエンジニアリングがこれまでも用いられてきた。

従来はこうした要求に応じてマクロを有効化してしまった際に、受信者が期待する内容が表示されないため、動作の異常に気がつく可能性もあった。しかし、今回の攻撃ではマクロの有効後、エラーの発生を装う「偽ダイアログボックス」の表示機能をあらたに用意。ファイルの中身を表示されない不自然さを、偽のエラーでごまかすカモフラージュにより、発見を遅らせようとしていた。

また「Emotet」本体にも改良が加えられている。従来は単独で動作する「.exe」ファイルだったが、Windowsの正規ファイルより読み込むライブラリファイルとして展開されるようになった。

くわえてコマンド&コントロールサーバとの通信も、従来の平文からバイナリデータに変更。プログラムが分析された場合も、通信先の情報などを取得されないよう手を加えていたという。

(Security NEXT - 2020/12/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

HTTPS通信の脅威遮断、前年比3.1倍に - 約9割がマルウェア
マルウェア「QakBot」の検知が増加 - 窃取メールを悪用か
IPA、2021年前半の被害届出127件を公開 - ランサムや認証突破など
【特別企画】予算や人材不足の中小企業でもあきらめない! - マルウェア被害の縮小化
2021年1Qの標的型攻撃メール報告は13件 - 「Emotet」関連報告は収束へ
米政府、マルウェア「TrickBot」展開する標的型攻撃で注意喚起
INPIT委託先で「Emotet」感染 - 使用許可取消後のテレワーク端末で
JSAC 2021の「ベストスピーカー賞」が選出 - 講演動画も公開中
ウイルス届け出、前年比73.4%増 - 「Emotet」など被害も
「Emotet」感染後の対応、「駆除」だけでは不十分