数日前、悪意あるRTFが添付されたメールに遭遇した。架空の訴訟通知メッセージが含まれているものだ。
同メールは会社名には言及しておらず、標的型というよりは、無差別型の手法をとっている。
今日、あるセキュリティ・ブロガーが我々(そして他の人達に)、彼の所に来た以下のメールを転送してくれた:
現時点で、この添付書類はMarcus Law Center(以下MLC)へのリンクに置き換えられているようだ。
MLCサイトに障害が起きているのか、単に完全な偽物なのか、見極めることは難しい。同サイトの企業情報ページのテキストは、あるニューヨークの弁護士サイトの内容を大幅に流用しているが、「良心的な」盗用である可能性もある。
いずれにせよ、エフセキュアのブラウザ保護機能が、安全のため、悪意あるファイルをホスティングしているサブ・ディレクトリをブロックしている。
このRTFファイルは、トロイの木馬型ドロッパ(Trojan-Dropper:W32/Agent.DIOY)として作用する埋め込みオブジェクトを含んでおり、これはダウンローダ(Trojan-Downloader:W32/Lapurd.D)をドロップし、次に中国南部に位置するサーバへと接続しようとする。
我々が確認した以前の添付ファイルも、中国のサーバに接続しようとしていた。
追記:SANS Diaryによれば、いくつかの.eduサイトが、似たようなメッセージを受けとっているそうだ。
そのドメイン「touchstoneadvisorsonline.com」は、同じRTF(.doc)ファイルをホスティングしている。
同メールは会社名には言及しておらず、標的型というよりは、無差別型の手法をとっている。
今日、あるセキュリティ・ブロガーが我々(そして他の人達に)、彼の所に来た以下のメールを転送してくれた:
現時点で、この添付書類はMarcus Law Center(以下MLC)へのリンクに置き換えられているようだ。
MLCサイトに障害が起きているのか、単に完全な偽物なのか、見極めることは難しい。同サイトの企業情報ページのテキストは、あるニューヨークの弁護士サイトの内容を大幅に流用しているが、「良心的な」盗用である可能性もある。
いずれにせよ、エフセキュアのブラウザ保護機能が、安全のため、悪意あるファイルをホスティングしているサブ・ディレクトリをブロックしている。
このRTFファイルは、トロイの木馬型ドロッパ(Trojan-Dropper:W32/Agent.DIOY)として作用する埋め込みオブジェクトを含んでおり、これはダウンローダ(Trojan-Downloader:W32/Lapurd.D)をドロップし、次に中国南部に位置するサーバへと接続しようとする。
我々が確認した以前の添付ファイルも、中国のサーバに接続しようとしていた。
追記:SANS Diaryによれば、いくつかの.eduサイトが、似たようなメッセージを受けとっているそうだ。
そのドメイン「touchstoneadvisorsonline.com」は、同じRTF(.doc)ファイルをホスティングしている。
