Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

活動再開「Emotet」、1000社以上で観測 - 発見遅らせる機能強化も

またCofenseによると、ソーシャルエンジニアリングや技術的な対策など、感染被害の発見を遅らせる複数の手法が実装されていた。

「Emotet」の感染に用いられるメールの添付ファイルは、マクロを含むWordファイルを悪用しており、メールの受信者に対しては、「ドキュメントが保護されている」などとだまし、マクロを有効化させるソーシャルエンジニアリングがこれまでも用いられてきた。

従来はこうした要求に応じてマクロを有効化してしまった際に、受信者が期待する内容が表示されないため、動作の異常に気がつく可能性もあった。しかし、今回の攻撃ではマクロの有効後、エラーの発生を装う「偽ダイアログボックス」の表示機能をあらたに用意。ファイルの中身を表示されない不自然さを、偽のエラーでごまかすカモフラージュにより、発見を遅らせようとしていた。

また「Emotet」本体にも改良が加えられている。従来は単独で動作する「.exe」ファイルだったが、Windowsの正規ファイルより読み込むライブラリファイルとして展開されるようになった。

くわえてコマンド&コントロールサーバとの通信も、従来の平文からバイナリデータに変更。プログラムが分析された場合も、通信先の情報などを取得されないよう手を加えていたという。

(Security NEXT - 2020/12/25 ) このエントリーをはてなブックマークに追加

PR

関連記事

JNSAが選ぶ2020年10大ニュース、気になる1位は……
12月21日より「Emotet」感染メール増加 - あらためて警戒を
コロナ禍ではじめて迎える冬期長期休暇 - あらためてセキュ対策の確認を
既存サービスを「Emotet」対策として提供 - BBSec
PC2台が「Emotet」感染、顧客情報含むメールが流出 - ひらまつ
「Emotet」だけじゃない - メール返信偽装、PW付zipファイル悪用マルウェアに要警戒
職員端末が「Emotet」感染、診療系システムには影響なし - 関西医科大
2020年3Qの標的型攻撃メールは9件 - 不審メールの情報提供は15倍、大半「Emotet」
次世代セキュリティ製品の検知回避を狙う「Emotet」
端末36台が「Emotet」感染 - 三協フロンテア