6月初めに投下(英文)が確認された後、暗号化ランサムウェアLocky(英文)をばらまくスパムキャンペーンが、かつてのような活発さを取り戻したようだ。通常、当社では、スパムキャンペーンの際、1日当たり約4,000~10,000件のスパム攻撃を確認している。
先週の水曜日から金曜日にかけて、当社では、Lockyをばらまくスパムの数が著しく増加するのを観察した。最大で、1時間当たり30,000件の攻撃が確認され、日計で120,000件への増加だ。
また、昨日、火曜日には、新たな2つのキャンペーンが確認された。その規模は、1時間で120,000件を超える、桁違いのものである。これは、通常時の200倍以上で、先週のキャンペーンと比べても4倍の件数である。
これら2つのキャンペーンは同時にばらまかれ、最初のピークは昨日の午後2時(ヘルシンキ時間)で、2度目は午前0時頃であった。
1つのキャンペーンでは、スパムの件名欄は一見すると空白で、「Fw:」とのみ記されており、zipファイルが添付されている。ファイル名は「xls_convert_受信者の名前_ランダムな数値.zip」という形式だ。メッセージの本文に、ご要望のExcelファイル形式の請求書が添付ファイルに入っている旨が記されている。攻撃者は、こうしたソーシャルエンジニアリングの手法を用いて、ユーザに添付ファイルを開かせようとする。実際には、添付のzipファイルに入っているのはJScriptファイルであり、Lockyランサムウェアをダウンロードして実行するものだ。
もう1つのキャンペーンでは、件名は「Profile」で、同じようなzipファイルが添付されている。添付ファイルのファイル名は「受信者の名前_profile_ランダムな数値.zip」という形式だ。
当社では、これらのサンプルを以下の検出ロジックでブロックする。
- Trojan-Downloader:JS/Kavala.S
- Trojan-Downloader:JS/Locky.T
- Trojan:W32/Locky.X!DeepGuard(英文)
SHA1:
0117ad48e414813709940af1514db5944c4da5eb
8aada8b162b47f27e332c4ccc9a9b5e36594d034
01c99e8ca77851295b840e01ae3ff6ae7faa8d46
08788c185f8af2c4bce08af948daeb09c0d340d9
4d1c0884d9f63e9f361b77b5e6cb4e907e901480
カテゴリ