オンライン銀行詐欺ツール「DRIDEX」が再び流行? - トレンドマイクロ

トレンドマイクロは11月26日、オンライン銀行詐欺ツール「DRIDEX」に関連する複数のスパムメールを確認したとしてセキュリティブログで注意を促した。

「DRIDEX」は、米国と英国の法執行機関によって、10月に攻撃活動の起点となるコマンド&コントロール(C&C)サーバ間のネットワークが閉鎖に追い込まれている。これにより、DRIDEXの攻撃活動に大きな打撃を与えることはできたものの、活動の終息には至らなかったという。すべてのインフラストラクチャを停止し、攻撃者グループ全員を逮捕しない限りは、完全に終息させることは不可能とされている。

トレンドマイクロは、C&Cサーバの閉鎖後も脅威の監視と、法的機関との協働を続けていたが、C&Cサーバが閉鎖された直後の一カ月で、すでにスパムメールを確認している。スパムメールの多くは、請求書、未払い通知、資産報告書、預金残高、領収書といった金融に関連したソーシャル・エンジニアリングを利用しており、それぞれ内容の異なる約10種類の亜種があった。

トレンドマイクロがスパムメールの送信活動を詳しく検証した結果、2014年8月頃から確認されている「DRIDEX」を利用するボットネットによって送信されたものであることが判明した。「DRIDEX」を利用するボットネットは、番号によって分類され、どの攻撃者やキャンペーンによるものか、またどの標的に関連するものかを番号で識別できる。スパムメールで使われた番号は、トレンドマイクロが2014年から確認している。

また、亜種を解析した結果、これまでの亜種と同様に、難読化や間接呼び出しなどの解析を"より"困難にするための複雑な手法を利用されていることが判明した。以前の解析では、電子メールの送信に関連した文字列がコードに含まれていたが、今回の亜種も同様の機能を備えている疑いがある。メール送信機能があれば、「DRIDEX」のボットネットだけで感染フローを完結させることができる仕様となる。

スパムメールには、マクロを含むExcelファイルとWordファイルが添付されており、開封すると「DRIDEX」の不正なファイルをダウンロードする。マクロを悪用する手法は、以前にも「DRIDEX」を拡散するために用いられており、今回の攻撃者も同様の手法を利用していると見られている。新たなスパムメールの送信活動が確認されたことで、「DRIDEX」を利用する攻撃者グループが再編成され、サイバー犯罪活動を新たに開始したことを示唆していると見られており、新たな脅威として認識する必要がある。

トレンドマイクロは「DRIDEX」の攻撃を防ぐ手段として、端末にインストールされているWordやExcelでは通常マクロを無効にしておき、必要な時だけ有効にするようにと呼び掛けている。