ばらまき型メール攻撃が3月22～23日に観測、日本のオンラインバンキングを狙った不正送金マルウェアを拡散

　セキュリティベンダーのESETは、メールを利用した「ばらまき型」攻撃とみられる兆候が、3月22日から23日にかけて確認されたとして注意喚起を行った。中には、不正送金マルウェア「Rovnix」の感染を狙ったものもあるとしている。

　不正送金マルウェアは、日本のオンラインバンキングなどをターゲットにしたもので、感染したまま攻撃対象の銀行にアクセスすると、ブラウザー上に改ざんした銀行のウェブサイトを表示。アカウント情報を入力してしまうと不正送金が行われる。今年2月ごろには日本郵政を偽ったRovnixの拡散メールが急増したほか、警視庁でも同様のメールについて注意喚起を行っている。

　ESETでは、今回のRovnixの感染を狙ったメールについて、明らかに日本をターゲットにしたものだと指摘。メールは日本語で書かれてあるものが大半だが、件名が文字化けしてあったり、本文が「3部1です。」のみといった通常のメールとは異質なものが多い。ただし、中にはECサイトの注文完了メールを偽り、自然な日本語で本文が綴られているメールも確認されている。

　メールにはマルウェア本体を内蔵したファイルが添付されている。ファイルは圧縮されており、解凍するとJPEGファイルやWordファイルに見せかけたEXEファイルが出現し、実行することで感染する。そのほか、ランサムウェアと同様の手口で、添付されたJavaScriptファイルからscr（スクリーンセーバー）形式のマルウェアをダウンロードして感染させるタイプもあるという。

本文が「3部1です。」と表記されたメール

件名が文字化けしているメール

本文が「いつもお世話になります。宜しくお願い致します。」と表記されたメール

本文がECサイトの注文完了メールを装ったもの。自然な日本語で書かれてある

「Rovnix」の検出傾向。継続して検出されているのが分かる