コンピュータ ワームをメールを通して受信してしまい、メールサーバーがウィルスに感染する、というような事態を経験したことはありますか?20年前には頻繁に見られた脅威ですが、セキュリティ対策により防ぐことができるようになり、近年はフィッシングメールを介したマルウェアの方がより一般的になってきています。
セキュリティ技術の発展やインターネットユーザーがよりテクノロジーに精通するに伴い、サイバー脅威も巧妙化しています。サイバー犯罪で暮らしを成り立たせている犯罪者も多くおり、彼らは標的を騙す仕掛けをより進化させるため、多くの投資を行っています。
今回紹介する脅威は、有名な企業になりすましメールを送り、メール内のリンクも正規なウェブサイトに見せかけているフィッシングメールです。この種のメールは、多くのセキュリティ対策を回避することができ、受信者を欺く可能性があります。
Adobe Acrobat Signを装ったメールにご注意
Adobeが提供する電子署名サービス「Acrobat Sign」は、Adobeがホストしている文書(PDF、Word、HTMLファイルなど)に署名を依頼するメールを誰にでも送ることができるサービスです。サイバー犯罪者はこのサービスを装い、マルウェアを拡散しています。
このようなメールは、正規に見えるメールアドレス(adobesign@adobesign.com)から送られてきます。以下は実際に確認された偽のメールです。
「確認して署名」ボタンをクリックするとAdobeのサーバー「eu1.documents.adobe.com/public/」でホストされている文書に誘導されます。この文書にはリンクが含まれており、署名する前にリンク先の内容を確認するよう促されます。標的がリンクをクリックすると、別のウェブサイトに誘導され、CAPTCHAを入力するよう要求されます。
入力後、ZIPファイルをダウンロードするよう指示されます。しかしこのファイルには、パスワードや暗号通貨ウォレットなどを盗むトロイの木馬マルウェア「Redline Trojan」が含まれているのです。
上記の例では、数十万人の登録者を有するYouTubeチャンネルを運営している人が狙われました。メール文を見ると、YouTuberが関心を惹くような内容になっていることがわかります。幸いなことに、標的はこのメールを怪しいと思い、リンクをクリックしませんでした。
しかし数日後、標的は再び同じようなメールを受信しました。今回のメールは、標的がリンクをクリックする確率を上げるため、リンクが2回記載されていました。
リンクをクリックすると、以下のページに飛びます。
このページは、別の電子サインサービス会社DocHubがホストになっています。しかし、「確認して署名」ボタンをクリックすると、Adobeのサイトに移動し、同じ文書が表示されます。
DocHubとAdobeの文書は両方ともリンクが含まれており、クリックするとCAPTCHAを入力するよう促されます。
入力すると、ZIPファイルのダウンロードを促され、ダウンロードされるファイルにはRedline Trojanの変種が含まれています。さらに、「Grand Theft Auto V」ゲームに属する悪質ではない実行ファイルもいくつか含まれていました。
今回の攻撃で使用されているRedline Trojanマルウェア、およびその変種の特徴として、ファイルサイズが400MB以上に拡大されていることが挙げられます。ダウンロードが実施される時点では、ファイルは圧縮されており、被害者が気が付かないようにされています。なぜサイバー犯罪者がマルウェアのサイズを拡大しているのかは不明ですが、おそらく、ファイルサイズによって異なるセキュリティ対策を回避するためと考えられます。
今回確認されたようなマルウェアの配布方法は、特定の人を標的とした、新たな攻撃手法です。アバスト脅威研究所はほかに、この手法を活用した攻撃は検出していませんが、さまざまなマルウェア対策を回避できる可能性があるため、サイバー犯罪者にとって人気のある攻撃方法になることを懸念しています。アバストはすでにAdobeとDocHubの両社に連絡し、すべての情報を共有しています。
悪質なメールからデバイスをを守るには?
-
知らない人からメールを受信した場合、メール内のリンクはクリックしないでください。
-
メールを介してリンクが送られてきたら、リンクをクリックする前に送信元に連絡し、なぜそのリンクを送ったのか、そのリンクが正当なものか、確認しましょう。
-
ウイルス対策ソフトをインストールしておきましょう。
この記事は、2023年3月15日に公開された(Ab)using Adobe Acrobat Sign to distribute malwareの抄訳です。