Emotet

新しい Emotet フィッシング キャンペーンは、内国歳入庁およびあなたが協力している企業から送信されたとされる W-9 納税申告書になりすまして、米国の納税者を標的にしています。

Emotet は、マルウェアをインストールする悪意のあるマクロを含む Microsoft Word および Excel ドキュメントを含むフィッシング メールを介して配布された、悪名高いマルウェア感染です。

しかし、 Microsoft がダウンロードした Office ドキュメントでデフォルトでマクロをブロックし始めた後、Emotet はスクリプトを埋め込んだ Microsoft OneNote ファイルを使用して Emotet マルウェアをインストールするように切り替えました。

Emotet がインストールされると、マルウェアは被害者の電子メールを盗み、将来のリプライ チェーン攻撃で使用し、さらにスパム メールを送信し、最終的にはランサムウェア ギャングなどの他の脅威アクターに初期アクセスを提供する他のマルウェアをインストールします。

Emotet が米国の納税シーズンに向けて準備を整える

Emotet マルウェアの活動では、一般的に、現在の米国の納税時期などの休日や年間のビジネス活動に合わせて、テーマに沿ったフィッシング キャンペーンが使用されます。

MalwarebytesPalo Alto Networks Unit42のセキュリティ研究者が確認した新しいフィッシング キャンペーンでは、Emotet マルウェアは、偽の W-9 税務フォームの添付ファイルを含む電子メールでユーザーを標的にしています。

Malwarebytes が確認したキャンペーンでは、脅威アクターは内国歳入庁の「検査官」になりすまして「IRS Tax Forms W-9」というタイトルの電子メールを送信しています。

これらのフィッシング メールには、悪意のある Word ドキュメントを含む「W-9 form.zip」という名前の ZIP アーカイブが含まれています。この Word 文書は、セキュリティ ソフトウェアが悪意のあるものとして検出するのを難しくするために、500 MB を超えています。

IRS になりすました Emotet メール
IRS になりすました Emotet メール
出典:マルウェアバイト

しかし、Microsoft が既定でマクロをブロックしているため、ユーザーがマクロを有効にするという問題を経験して、悪意のある Word ドキュメントを使用して感染する可能性は低くなります。

Emotet Word 文書
Emotet Word 文書
ソース:

Unit42 の Brad Duncan が確認したフィッシング キャンペーンでは、攻撃者は、Emotet マルウェアをインストールする VBScript ファイルが埋め込まれた Microsoft OneNote ドキュメントを使用して、これらの制限を回避しています。

このフィッシング キャンペーンでは、以下に示すように、W-9 フォームを送信するビジネス パートナーを装った返信チェーン メールが使用されます。

悪意のある Microsoft OneNote が添付された Emotet 返信チェーン メール
悪意のある Microsoft OneNote が添付された Emotet 返信チェーン メール
出典:Unit42

添付された OneNote ドキュメントは、保護されているふりをして、ドキュメントを正しく表示するために [表示] ボタンをダブルクリックするよう要求します。ただし、その [表示] ボタンの下には、代わりに起動される VBScript ドキュメントが隠されています。

W-9 フォームを偽装する悪意のある Microsoft OneNote ファイル
W-9 フォームを偽装する悪意のある Microsoft OneNote ファイル
ソース:

埋め込まれた VBScript ファイルを起動すると、Microsoft OneNote は、ファイルが悪意のある可能性があることをユーザーに警告します。残念ながら、多くのユーザーがこれらの警告を無視して、ファイルの実行を許可していることは歴史が証明しています。

VBScript が実行されると、Emotet DLL がダウンロードされ、regsvr32.exe を使用して実行されます。

マルウェアはバックグラウンドで静かに実行され、電子メールや連絡先を盗み、さらにペイロードがデバイスにインストールされるのを待ちます。

W-9 やその他の税務フォームを装った電子メールを受信した場合は、まずローカルのウイルス対策ソフトウェアでドキュメントをスキャンしてください。ただし、これらのフォームは機密性が高いため、VirusTotal などのクラウドベースのスキャン サービスにアップロードすることはお勧めしません。

通常、納税申告書は Word の添付ファイルではなく PDF ドキュメントとして配布されるため、受け取った場合は、それを開いてマクロを有効にすることは避けてください。

最後に、税務フォームが OneNote ドキュメントとして送信される可能性は低いため、電子メールを受信した場合はすぐに削除し、開かないでください。

いつものように、最善の防御策は、知らない人からのメールを破棄することです。知っている場合は、まず電話で連絡して、送信者かどうかを確認してください。