日本郵政を装い、「小包が配達できなかった」などとだまして添付ファイルを開かせる悪質なメールが流通しているが、
不正送金マルウェア「Rovnix」の感染活動の一環であることがわかった。
「Racuten」を装うケースも確認されている。
問題のメールは、差出人を「日本郵政」や「JAPAN POST」などと装い、
「小包が配達できなかった」などと騙して「委託運送状」と称する添付ファイルを開かせようとしていた。
添付ファイルは、zipにより圧縮されており、中身のファイルはPDFファイルを偽装しているが、
実際は制御文字「RLO」により文字の順番を入れ替えたスクリーンセーバーファイル(scrファイル)だった。
2月14日以降に検出の増加を観測しているトレンドマイクロによれば、同ファイルを誤って開くとHTTPS通信により、
不正な証明書などとともにマルウェア「Rovnix」へ感染するという。
「Rovnix」は数年前より流通しているトロイの木馬。「Cidox」「Carberp」「Vundo」といった名称でも知られており、
2015年12月に国内金融機関を標的とした攻撃が確認されている。
感染端末からインターネットバンキングのログインページへアクセスすると、
外部から読み込んだ不正なスクリプトを埋め込み、ログインページを改ざんする。
トレンドマイクロによれば、今回のケースでは、都市銀行をはじめ、地方銀行、信用金庫、
さらに共同のオンラインバンキングシステムなど、30のサイトを標的としていた。
またシマンテックでは、ローンやオンラインショッピングなどを装い、「Rovnix」を感染させようとするメールを検知しており、
楽天を装ったと見られる「Racuten Japan」を発信元としたメールを確認した。同メールでも、
注文の品物を返送したなどと説明し、「委託運送状」などとして添付ファイルを開かせようとしていたという。
http://www.security-next.com/067068