米国で所得税申告の時期を狙ったフィッシングメールが急増 - パロアルト

のAPIとPythonを使用し、税金申告に関連したフィッシングメールのサンプルデータを収集し、さらなる分析のためのデータフレームワークを構築した。その結果、2015年9月2日から2016年1月28日の間の2062件の電子メールセッションで70件のユニークなマルウェアサンプルを確認した。それらの多くは、電子メールの送信元アドレスは偽装されていた。

メール送信元のIPアドレスは主にmail2worldと呼ばれるフリーメールサービスのものであった。

フィッシングメールの添付ファイルの一部はPEファイル(実行ファイル)で、それ以外は悪質なマクロを含んだWord文書であった。サンプルの1つ(119f3dd48e316f77974a7ec84c0fdecd943ceed77c30db9a6df0c1b0615b0ac0) には、マクロの有効化を促す指示が含まれていた。

オープンソースのツールを使用すると、難読化されたファイルのダウンロード機能がWordのマクロに取り込まれる。

メール添付ファイルに含まれているマルウェアを見てみると、ペイロードの大部分は「NanoCoreRAT」というマルウェアと、同マルウェアのダウンロードと実行を行う汎用のマクロダウンローダーで構成されていることがわかる。