is702
ニュース

2つのランサムウェアを交互に使うスパムメール拡散活動を確認

2017/10/11

トレンドマイクロは10月10日、公式ブログで「『LOCKY』と『FAKEGLOBE』、2つのランサムウェアを交互に拡散するスパムメール送信活動を確認」と題する記事を公開しました。

それによると、暗号化型ランサムウェア「LOCKY(ロッキー)」と「FAKEGLOBE(フェイクグローブ)」を、交互に拡散するスパム(迷惑)メール送信活動が確認されました。この活動では、ユーザがスパムメールに含まれるリンクをクリックした際にダウンロードされるランサムウェアが、一定時間を経過すると、LOCKYからFAKEGLOBEに、あるいはFAKEGLOBEからLOCKYに交代するよう設計されていました。

スパムメールには、Eメール本文に埋め込まれたリンクと添付ファイルがあり、どちらも請求書に偽装していました。トレンドマイクロが、添付ファイルに含まれるURLについて確認したところ、ダウンロードされるファイルが、数時間後にFAKEGLOBEからLOCKYに変化していました。

スパムメールの送信活動は、複数回観測されており、主に日本、中国、米国のユーザなど、計70か国以上が狙われました。まず1回目の送信では、2017年9月4日午前10時(UTC+4。日本時間では午後3時)にピークを記録し、合計で29万8000件のスパムメールが検出されました。2回目の活動は、9月4日の午後4時(UTC+4。日本時間では午後9時)にピークを記録し、合計28万4000件のスパムメールが検出されました。内容や時間帯から、これら2つの検体は、同じサイバー犯罪者から送信されたと推測されています。

なお、LOCKYとFAKEGLOBEの両方を拡散しようとする別のスパムメールが、8月30日、9月5日にも確認されています。この活動では、不正なマクロが仕込まれたMicrosoftの文書ファイル(拡張子DOC)が、メールに添付されていました。

複数のマルウェアをスパムメール拡散拡散時に使う手法は、今回が初めての観測ではありませんが、これまでは「オンライン銀行詐欺ツールとランサムウェア」というように、異なるマルウェアの組み合わせでした。今回のように、2つのランサムウェアを使った理由としては、ユーザを二度ランサムウェアに感染させることで、収益アップ等を狙っているとも考えられます。企業やエンドユーザは、あらためてランサムウェアの予防と対策を見直すようにしましょう。



1回目のスパムメール送信活動の検出国と検出割合<br />

1回目のスパムメール送信活動の検出国と検出割合



  • FCTV
  • mitene
FCTV
mitene