Emotetが5ヶ月ぶりに復活、世界中のメール受信者に25万通以上のマルスパムメッセージが送信されています。

Emotetが5ヶ月ぶりに復活しました。
研究者がこのマルウェアを最初に発見したのは、金曜日以降、Microsoft Officeのユーザーに何十万通もの悪質な電子メールをスパムしてきたキャンペーンでした。

このマルウェアは2014年に最初に出現しましたが、その後、アカウントの認証情報を盗み、さらにマルウェアをダウンロードするように設計された本格的なボットネットへと進化しています - この最新のケースでは、TrickBotやQakBotといった銀行系のトロイの木馬が使われています。

先週の復帰後、このボットネットは、米国、英国、アルゼンチン、ブラジル、カナダ、チリ、エクアドル、メキシコのメール受信者に一日中25万通以上のメッセージを送信したと報道されています。

Microsoft Security Intelligenceの研究者は、スパムメールには、URLまたは添付ファイルが含まれており、既存のメールスレッドへの返信として文書を送信することを目的としています。

スパムメールには、URLまたは添付ファイルが含まれており、既存の電子メールのスレッドに返信して文書を送信していることを装っています。

例えば、あるサンプルメールでは、"Form - Jul 17, 2020.doc "という名前の添付ファイルを開くようにメール受信者に要求しています。
別のものは、その文書が請求書であるかのように見せかけていました。
文書の添付ファイルには、非常に難読化されたマクロが含まれており、受信者にコンテンツを有効にするよう求めています。

マクロが有効化されると、Windows Management Instructionは、次にPowerShellを起動して、リモートの侵害されたWebサイトからEmotetのバイナリを取得します。
最後に、ペイロードが実行され、Emotet のコマンド アンド コントロール (C2) サーバーの 1 つに確認を送り返します。

"マイクロソフトによると、このキャンペーンでは、これまでに数万通のメールに数百通のユニークな添付ファイルやリンクが含まれているのが確認されています。"
"ダウンロードURLは、通常、侵害されたウェブサイトを指しており、Emotetの活動の特徴となっています。"

不正スパムメールは、Emotetキャンペーンのさまざまな特徴を持っていますが、Proofpointの研究者によると、悪意のあるURLは、メール本文の不正文書や悪意のあるURLに加えて、PDFで配布されるようになっていることに注目しています。

"我々はこれまでのところ、このキャンペーンで数万通のメールに数百通のユニークな添付ファイルやリンクを確認しています。"と、Proofpointの研究者はTwitterで述べています。
"ダウンロードURLは、通常、侵害されたウェブサイトを指しており、Emotetの操作に特徴的です。"

研究者たちはまた、Emotet が他のマルウェアのダウンローダーとして使用されていることも報告しています。
例えば、2009年から存在する情報窃盗マルウェアのワームのような系統の Qakbot や、人気のある銀行のトロイの木馬 TrickBot などがあります。

Emotetは、2020年2月に被害者の銀行を装ったSMSメッセージを送信するキャンペーンが最後に見られました。
被害者がテキストメッセージのリンクをクリックすると、銀行の認証情報を渡すよう求められ、システムにEmotetマルウェアを感染させるファイルをダウンロードさせられます。
また、2月には研究者が、感染したデバイスの近くにある安全でないWi-Fiネットワークに拡散する能力を持つEmotetマルウェアのサンプルを発見しました。

2019年にはEmotetは夏の間休止状態に入り、その後復帰。
他の銀行のトロイの木馬、情報窃盗犯、電子メールハーベスター、自己増殖メカニズム、ランサムウェアを投下するようになりました。

"Emotetのトロイの木馬は、2018年と2019年の間、延長ブレイクに入るまでの間、私たちのレーダーで最も目に見えて活発な脅威でした。"とMalwarebytesの研究者は金曜日に述べています。
"Emotet侵害の実際の被害は、他のマルウェアギャングや、特にランサムウェアを落とすことに興味を持つ攻撃者と連携したときに起こります。"

元記事
https://threatpost.com/emotet-returns-in-malspam-attacks-dropping-trickbot-qakbot/157604/

—-
休止と復帰の度に強化されるEmotet。
日本では件名が「会議への招待 XXXXX」となっていたり、昨今のウェブ会議の増加もあり、その国のビジネス状況を非常に研究しているようだ。
しかも添付ファイルがPDFとなるとさらに巧妙に開いてしまうケースが多そう。