ニュース
» 2018年02月13日 08時00分 公開

最終的にはバンキング型トロイの木馬として機能:Windows 7以前のユーザーは要警戒――偽メールから感染を拡大させる「Hancitorマルスパム攻撃」とは

Palo Alto Networksは、Windows OSに感染するマルウェア「Hancitor」について注意を促している。「Windows Defender」を搭載せず、ウイルス対策機能が無効にされているWindows 7以前のOSを狙う傾向にあるという。同社は、攻撃者による手法が巧妙化していることから、セキュリティ対策の徹底を呼び掛けている。

[@IT]

 Palo Alto Networksは2018年2月8日、同社の公式ブログで、「Hancitor」や「Chanitor」「Tordal」と呼ばれるマルウェアについて注意を促した。Windows 10では標準で有効になっている「Windows Defender」は、Hancitorを容易に検出するため、同社は、ウイルス対策機能が無効になっているWindows 7以前のユーザーに注意を呼び掛けている。

 Hancitorは、Microsoft Office文書を介してWindowsに感染するマルウェア。ほとんどの場合、バンキング型トロイの木馬として機能する。従来は、「HancitorをインストールするマクロをWord文書に組み込み、電子メールに添付する」攻撃が一般的だった。最近は新たに「同様のWord文書をホスティングする配信サーバへ誘導するリンクを電子メールに埋め込む」攻撃が、電子メールのフィルタリング機能や、ウイルス対策ソフトによる添付ファイルのスキャン機能をかいくぐっているという。

画像 Palo Alto Networksは、攻撃用配信サーバが長期的に使われていることから、新たな攻撃手法が「今のところ成功している」とみている(画像はイメージです)

 攻撃者は、平日を中心に、Hancitorを含んだ電子メールを毎月数百件送信している。新たな手法は、マルウェアに感染したWebサーバやホスティング業者の不正アカウントを利用し、攻撃用の配信サーバをさまざまな地域に設置。botネット経由で「請求書」や「宅配業者の配送通知」など、実在の企業を装った攻撃用電子メールを大量に送りつける。受信者が電子メールに埋め込まれたリンクをクリックすれば、Word文書がPCにダウンロードされ、Hancitorがインストールされる。

 Palo Alto Networksの解析によれば、攻撃者が利用したWebサーバが所属するドメインのほぼ全てで、「Pure-FTPd」または「ProFTPd」(いずれもUNIX/Linux向けのFTPサーバ)が実行されていた。こうした手法の他、2017年の一時期には、Windowsのアプリケーション間連携機構「DDE(Dynamic Data Exchange)」を利用した攻撃も確認されたという。

 Palo Alto Networksは、「ホスティング業者の悪用による活動期間の長さ」「脆弱(ぜいじゃく)性が残ったサーバが世界中に存在する点」「攻撃者がHancitorの配信手法を微調整している点」などを挙げ、「セキュリティのベストプラクティスを無視し、古いバージョンのWindowsを実行している企業が被害者になっている」として、厳重な注意を促している。

Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

@ITのメールマガジン(無料)

✔ 【@IT通信】
  編集部のおすすめ記事、限定コラムをお届け
✔ 【@IT新着速報】
  新着記事・速報をまとめてお届け
✔ 【@IT自分戦略研究所Weekly】
  転職支援情報やキャリアアップ情報をお届け

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。