チェック・ポイント脅威アラート:アーカイブ内の.JSファイルを介してランサムウェアに感染させる攻撃に注意

ここ最近、ランサムウェアの攻撃キャンペーンにおいて、検出回避を目的としてアーカイブ内のJavaScriptファイルを使用するケースが大幅に増加しています。さまざまなランサムウェアのペイロードを拡散させるこの種のキャンペーンでは、スピア・フィッシング・メールを無作為に大量送信し、48時間以内に支払うよう受信者に要求します。このようなフィッシング・メールには、不正なJavaScriptコードが含まれているアーカイブ・ファイル(zip/rar)が添付されています。

概要

  • チェック・ポイントの分析担当者は、アーカイブ・ファイル内のJavaScriptファイルを使用するスピア・フィッシング攻撃をいくつか発見しました。
  • メールにはありふれた件名(「最新の請求書」や「お支払いの確認」など)が付けられる場合が多く、本文は受信者の名前や「送信者」の所属組織・役職を使い分けている以外はほとんど同じ内容です。
  • 標的のユーザに、不正なJavaScriptファイルが同梱されている添付のアーカイブ・ファイルを開くよう促します。
  • JavaScriptファイルを開くと、実行可能ファイルがダウンロード、実行され、ユーザのコンピュータがランサムウェアに感染します。
  • 特定の攻撃キャンペーンで確認されたJavaScriptファイルの一部は、ハードコードされたURLからランサムウェア「Locky」のペイロードをダウンロードしていました。
  • 多くのアーカイブ・ファイル(一部のケースではzipファイルをrarアーカイブ・ファイルに偽装)は意図的に切り詰められているか、破損しています。これはおそらく、保護メカニズムを妨害するためであると見られます。
  • チェック・ポイントのIPS保護機能は、このような途中で途切れた、または破損したアーカイブ・ファイルも検出します。

チェック・ポイントの保護機能

  • チェック・ポイントのIPS Software Bladeには、このようなスピア・フィッシング・メールを検出、ブロックする以下に示す保護技術が搭載されています。
    • チェック・ポイントのSandBlastは、zipファイルのコンテンツのブロック機能を有効にすることにより、こうした攻撃から保護します。
    • JavaScriptコードを含む不審な添付ファイルに関するチェック・ポイントのアドバイザリ
    • JavaScriptコードを含む添付ファイルは、さまざまなフィッシング攻撃において確認されています。リモートの攻撃者は、標的のユーザにこのようなファイルを添付したメールを送り付け、ファイルを手動で実行するよう促します。ユーザが指示に従ってしまうと、不正なコードが実行され、ユーザのシステムに感染します。

攻撃キャンペーンのスクリーンショット

  • 典型的な攻撃キャンペーンにおける、さまざまな局面のスクリーンショットを以下に示します。
    • スピア・フィッシング・メール
    • JSコンテンツを含むzipファイル
    • ある攻撃キャンペーンで使用された、よく似たJavaScriptファイル
    • JavaScriptファイルによる検出回避の試み
    • LockyのダウンロードURL
    • チェック・ポイントのIPS保護機能によりブロックされたスピア・フィッシング攻撃のログ