ここ数日の間、当社はイタリアとスペインの顧客から、いくつかの事例を受け取った。CryptowallCryptolockerといったランサムウェアへと導く、悪意のあるスパムメールに関するものだ。

 このスパムメールは、配送待ちの小包について宅配サービスや郵送サービスから連絡が来たように見せかけている。メールにはオンラインでその小包を追跡するためのリンクが提示されている。

crypt_email (104k image)

 当社の標準のテストシステムでメールの初期調査を行ったところ、このリンクはGoogleにリダイレクトされた。

crypt_email_redirect_italy (187k image)

 では、悪意のある振る舞いはしなかったということだろうか?うーん、我々は最初の2つのURLはPHPだという点が気になった。PHPのコードは、クライアントサイドでローカルに実行されるわけではなく、サーバサイドで実行される。そのため、事前に設定した条件に基づいてユーザをGoogleにリダイレクトするか、あるいは悪意のあるコンテンツを提供するのかをサーバが「決定」できるのだ。

 この特定のスパムメールはイタリア語で書かれている。もしや、イタリアを拠点とする顧客のみが、悪意のあるペイロードを目撃することができるのだろうか?幸運にも我々にはFreedomeがある。実験するために少しの間だけイタリアへ旅行できるのだ。

 そこでFreedomeを起動し、ロケーションをミランに設定して、メール上のリンクを再度クリックした。

crypt_email_mal_italy (302k image)

 このときは、嫌なものを見た。もしユーザがイタリアにいる(ように見える)場合、サーバはクラウドのストレージサーバ上に置かれた悪意のあるファイルへリダイレクトするのだ。

 スペインのユーザに送付されたスパムメールも同様だが、こちらの場合はサイトがより本物っぽく見えるようにCAPTCHAを試すようになっている。スペイン国外にいるユーザがメール内のリンクをクリックした場合、こちらもGoogleに行きつく。

crypt_email_redirect_spain (74k image)

 逆にスペインのIPアドレスからサイトに訪れた場合には、CAPTCHA画面が表示される。

crypt_email_target_spain (57k image)

 そして続いてマルウェアそのものだ。

crypt_email_mal_spain (313k image)

 このスパムキャンペーンでは(今までのところ)エクスプロイトは使っておらず、古風なソーシャルエンジニアリング手法だけを用いている。感染が起きるのは、悪意あるURLで提示されたファイルをユーザが手動でダウンロード、実行したときだけだ。当社の顧客については、URLはブロックされ、ファイルは検知される。

 (今回のマルウェアのSHA1:483be8273333c83d904bfa30165ef396fde99bf2、295042c167b278733b10b8f7ba1cb939bff3cb38)

 Post by — Victor