ここから本文です

Windows 7以前のユーザーは要警戒――偽メールから感染を拡大させる「Hancitorマルスパム攻撃」とは

2/14(水) 8:00配信

@IT

 Palo Alto Networksは2018年2月8日、同社の公式ブログで、「Hancitor」や「Chanitor」「Tordal」と呼ばれるマルウェアについて注意を促した。Windows 10では標準で有効になっている「Windows Defender」は、Hancitorを容易に検出するため、同社は、ウイルス対策機能が無効になっているWindows 7以前のユーザーに注意を呼び掛けている。

 Hancitorは、Microsoft Office文書を介してWindowsに感染するマルウェア。ほとんどの場合、バンキング型トロイの木馬として機能する。従来は、「HancitorをインストールするマクロをWord文書に組み込み、電子メールに添付する」攻撃が一般的だった。最近は新たに「同様のWord文書をホスティングする配信サーバへ誘導するリンクを電子メールに埋め込む」攻撃が、電子メールのフィルタリング機能や、ウイルス対策ソフトによる添付ファイルのスキャン機能をかいくぐっているという。

 攻撃者は、平日を中心に、Hancitorを含んだ電子メールを毎月数百件送信している。新たな手法は、マルウェアに感染したWebサーバやホスティング業者の不正アカウントを利用し、攻撃用の配信サーバをさまざまな地域に設置。botネット経由で「請求書」や「宅配業者の配送通知」など、実在の企業を装った攻撃用電子メールを大量に送りつける。受信者が電子メールに埋め込まれたリンクをクリックすれば、Word文書がPCにダウンロードされ、Hancitorがインストールされる。

 Palo Alto Networksの解析によれば、攻撃者が利用したWebサーバが所属するドメインのほぼ全てで、「Pure-FTPd」または「ProFTPd」(いずれもUNIX/Linux向けのFTPサーバ)が実行されていた。こうした手法の他、2017年の一時期には、Windowsのアプリケーション間連携機構「DDE(Dynamic Data Exchange)」を利用した攻撃も確認されたという。

 Palo Alto Networksは、「ホスティング業者の悪用による活動期間の長さ」「脆弱(ぜいじゃく)性が残ったサーバが世界中に存在する点」「攻撃者がHancitorの配信手法を微調整している点」などを挙げ、「セキュリティのベストプラクティスを無視し、古いバージョンのWindowsを実行している企業が被害者になっている」として、厳重な注意を促している。

最終更新:2/14(水) 8:00
@IT