事例Use case

【Bitdefender海外ブログ】Emotetが更新モジュールを備え、拡散を再開

2021.1.14

ツイート シェア 送る はてブ

malicious-code-4036349_1920-990x557.jpgEmotet(エモテット)と呼ばれるマルウェアは、数カ月の間活動があまり見られませんでしたが、再び拡散が始まりました。新しいペイロード(マルウェアの機能)を用いて、セキュリティソフトによる検知を逃れています。

Emotetを使った攻撃には波があり、活動を休止している間にマルウェアを改良し、更新していました。2カ月間の休止後、最近活動が再び活発になったことがセキュリティの専門家によって明らかになっています。Emotetボットネットから発信されたEメールが、再び拡散し始めました。

感染を見逃してしまうEmotetの新しい仕組みとは

マルウェアの拡散範囲はとても広く、感染したEメールが様々な言語で多くの国に送られ、休暇やイベントなどに合わせて様々な題材を使い分けています。しかし従来のものと最も異なる点は、このマルウェアがユーザーにマクロを起動させ、感染させるプロセスにあります。

「メールに添付されているドキュメントには、Emotetをインストールするための不正なマクロが含まれています。ファイルを開くと"保護された"ドキュメントと表示されるので、ユーザーにマクロを有効化させてファイルを開くように促します。」と米国セキュリティ会社 Cofenseの専門家は指摘しています

「以前のバージョンはマクロを有効化した後に何も目に見える反応がなかったので、被害者に怪しまれていました。新しいバージョンはダイアログボックスが表示され、"Wordファイルを開けません"というメッセージが出ます。期待したコンテンツが表示されない理由が説明されているため、Emotetがバックグラウンドで実行されていることに気付かず、感染を見逃してしまうことになります。」

December_Emotet_Cropped_wm.png参照元:Emotet is Back for the Holidays with Updated Tactics


更新機能でEmotetの検出がより困難に

このマルウェアには、独自のアップデート機能が備わっています。このソフトウェアは、Windowsのrundll32.exeによって初期化されたDLLの形式で提供されます。攻撃者がプレーンテキストからバイナリに切り替えた後は、コマンドアンドコントロールセンター(マルウェアの動作を制御するサーバー)との通信も、ますます検出が困難になります。

新しいEmotetのアップデート機能は、マルウェアが存在し続けること、そして攻撃者ができるだけ多くの人々をだまし、セキュリティソリューションから逃れるために、マルウェアを更新し続ける可能性が高いことを明らかにしています。

翻訳元記事 Emotet Returns with Updated Modules and New Campaign


★世界トップクラスのウイルス検知性能 Bitdefender Total Security
 製品レビュー:https://securie.jp/usecase/case/20181204.html