マルウェアスパムを1カ月間に25万通拡散するスパムボットの挙動を確認、送信インフラ整備も

「URSNIF」を拡散させる日本語マルウェアスパムの例

　国内ネットバンクを狙ったマルウェア「URSNIF（別名：Gozi）」をメール経由で拡散しているボットネットについて、トレンドマイクロ株式会社が調査を行ったところ、1カ月間に50種類以上のマルウェアスパムが送信され、メール送信のための「インフラ整備」も並行して行われている状況を確認したという。

　こうしたマルウェアスパムの一般的な手口では、マルウェアをメールに直接添付せず、不正なサイトからマルウェア本体をダウンロードさせるツールを添付し、最終的に感染させるものとなる。調査の手掛かりとして、2016年10月以降に確認されたURSNIFを拡散させるマルウェアスパムの配信元ボットネットをたどり、ダウンローダーとして「BEBLOH」が使用されていたことを突き止めた。

　BEBLOHは、単体でもオンラインバンキングマルウェアとして活動するが、今回はC&Cサーバーから取得した指示に従うボットやバックドアとして活動していた。このBEBLOHによりURSNIFがダウンロードされ、国内のオンラインバンキングを狙う活動を行っていた。ただし、トレンドマイクロの監視によれば、別種のダウンローダー「PUSHDO」がダウンロードされる例もあった。

　PUSHDOは、ダウンローダーとしての機能に特化されており、DDoS攻撃用のマルウェアなどをダウンロードすることで知られているが、今回の調査では、スパムメール送信用のスパムボット「CUTWAIL」をダウンロードしていた。CUTWAILは、C&Cサーバーからスパムメール本文のテンプレート、偽のヘッダー情報のテンプレート、From（送信元）として使用するためのアカウント名とドメイン名のリスト、送信先アドレスのリストといった情報を取得し、スパムメールを生成、送信する活動を行っていた。

スパムボット「CUTWAIL」のダウンロードを行う指令の例

日本語マルウェアスパム用テンプレートに含まれる情報の例

上記のテンプレートから生成されたマルウェアスパムの例

　トレンドマイクロによる監視によれば、スパムボットに感染した1台の環境から、50種類以上のスパムメールテンプレートを用い、1テンプレートあたり数千件、合わせて25万通のスパムメールが1カ月間に送信されていたと見られる。テンプレートには、日本語マルウェアスパムのほか、イタリア向けには別のマルウェアダウンローダーである「ZBOT」を添付していたほか、ギリシャ、ドイツなどのメールアドレスに向けたマルウェアスパムのテンプレートも含まれていた。

イタリア語のマルウェアスパムテンプレートの例

　スパムメール業者は、ほかのサイバー犯罪者からマルウェアの拡散を請け負っており、こうした依頼内容と並行して、自身のスパムメール送信インフラの拡大や整備を行っている事実を確認したという。オンラインバンキングを行っていなくても、こうしたマルウェアに感染すると、スパムボットやDDoS攻撃ツールなど、感染した環境を踏み台にするマルウェアが継続して侵入する環境が高い。

　トレンドマイクロでは、マルウェアを拡散するスパムメール送信による攻撃を早期に把握するため、スパムメール送信インフラとしてのボットネットの活動についての監視と調査を継続しており、2016年には、400件以上の検出台数を確認したマルウェアスパムのアウトブレイクを80回以上観測しているとのことだ。