Emotet再拡散か アンチウイルスソフトの回避狙う新手口も JPCERT/CCが注意喚起
JPCERT/CCは3月8日、マルウェア「Emotet」の感染を広げるメールが再度見つかったとして注意喚起した。添付のZIPファイルを開くと、500MBを超える文書ファイル(doc)が展開されるなど手口の変化が見られるという。「サイズを大きくすることでアンチウイルス製品などでの検知回避を図っていると考えられる」(JPCERT/CC) Emotetはメールを媒介に感染を広げるマルウェア。攻撃の手口は従来のままで、メールに添付されたマクロ付OfficeファイルやZIPファイルなどを開くとEmotetに感染する。2022年11月を最後に観測されていなかったが、JPCERT/CCが23年3月7日に再確認した。 感染チェックツール「EmoCheck」で検知できない例もあったという。JPCERT/CCは「EmoCheckによる検知手法の更新の可否も含めて調査を行い、ツールのアップデートなどの進捗があれ
Emotet拡散攻撃再開か--500MB超のファイルでAV回避の狙いも
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます メールセキュリティを手掛ける米Cofenseは3月7日、マルウェア「Emotet」の拡散を狙う攻撃メールが米国東部時間の同日午前8時(日本時間同日午後10時)頃から出回り始めたと報告した。マルウェア対策の検知を逃れると見られる新たな手法も確認されたという。 Cofenseによると、攻撃メールには、「INNVOICE」などの名前でパスワードがかけられていないZIPファイルが添付され、マクロを含むOfficeドキュメントが格納されている。 セキュリティ研究者グループのCryptolaemusがこのファイルを分析したところ、マクロを含むOfficeドキュメントのファイルサイズは500MBを超え、ユーザーがOfficeアプリケーションでマクロを
活動再開したEmotetの新たな警告回避手法 Proofpointが効果を考察
Proofpointは2022年11月16日(現地時間)、同社のブログで2022年11月に活動を再開したマルウェア「Emotet」の動向アップデートを報告した。 Emotetは日本を含む全世界で活動中のマルウェアだ。電子メール経由で感染を拡大する。2019年に世界中で猛威を振るった後、何度か活動が休止する期間があったものの、断続的に被害が続いていた。2021年1月に世界各国の司法当局や法執行当局の共同オペレーションによってテイクダウンに追い込んだ。しかし2021年11月に活動を再開し、2022年6月まで活発化していた。 Emotetは2022年7月13日を境に4カ月ほど活動を休止したが、2022年11月2日に再活動が観測された。電子メール経由で感染を拡大する動きが活発になっており、Proofpointの報告によれば、1日数十万通の電子メール配信を確認している。
「マクロブロック」を回避する手口
マルウエアの常とう手段として、マクロ付きのOfficeファイルをメールで送りつけ、ユーザーに開かせて感染させる手口が長年使われてきた。これに対処するため、米マイクロソフトは2022年4月から▼Webやメールなどインターネット経由で入手したOfficeファイルのマクロをデフォルトでブロックするようにした。 マクロブロックの導入により、セキュリティーレベルは向上すると予想される。だが万全ではない。回避する手口が存在するからだ。そこで今回は、マクロブロックを回避する手口を実際の検証を交えながら解説する。 「有効化」ボタンを非表示 まず、マクロブロックの導入前後でMicrosoft Officeの動作がどう変わったのかを見ておこう。Emotetの攻撃に使われたExcelファイルを用いて検証した(図1)。 インターネット経由で入手したマクロ付きのファイルなので、このファイルを開くとマクロブロックの導
ブラウザー内のID・パスワードを盗む「Emotet」、感染対策どうする?
WebブラウザーにさまざまなWebサイトや社内システムのIDとパスワードを記憶させ、認証画面で手早くログインする。そんな操作をしている人は少なくないだろう。しかしWebブラウザーが記憶しているIDとパスワードを盗み出すマルウエアがあることをご存じだろうか。 そんな情報窃取型マルウエアの代表格が「Emotet(エモテット)」だ。トレンドマイクロによると、2022年2月から国内に第3波が襲来し、同年3月に月間検出数が4万件を突破。同年4~5月にいったん収束したものの、同年6月には感染が再拡大し2万6000件を超えた。 EmotetはWebブラウザーが記憶しているID・パスワードのほか、メール関連の情報などを盗み出す。メール関連の情報にはメールシステムのパスワード、連絡先や過去に送受信したメールの内容などがある。攻撃者はこれらメール関連の情報を使って、不正なマクロを含む文書ファイルや不正なリンク
Microsoftのマクロ遮断に攻撃側が対抗、防御をかいくぐるマルウェア感染の手口とは
Microsoftのマクロ遮断に攻撃側が対抗、防御をかいくぐるマルウェア感染の手口とは:この頃、セキュリティ界隈で Officeアプリケーションのマクロをデフォルトでブロックする措置をMicrosoftが講じたことを受け、ユーザーをだまして不正な添付ファイルをクリックさせ、マルウェアに感染させようとする攻撃の手口に変化が生じている。 電子メールに不正なファイルを添付して送り付け、ユーザーがマクロを有効にするよう仕向ける手口は、「Emotet」などのマルウェアに感染させる目的で使われる常とう手段だった。その防御をかいくぐる目的で、攻撃側がISO(.iso)やRAR(.rar)といったコンテナファイルを使い始めている実態が、サイバーセキュリティ企業の米Proofpointの調査で浮かび上がった。 Microsoftは2021年10月、Excel4.0(XL4)マクロをデフォルトでブロックすると
Emotetによる最大の脅威は人? 徳丸浩氏が語る、向き合うべきメールとセキュリティの関係性
Emotetがここまで拡がった背景とは ──Emotetのこれまでの動きと、最近の活動についてどのように感じられていますか? 事件的な話ですと、2014年ぐらいから日本で話題になり、被害が拡大したというのはここ3年ぐらいのお話です。その頃は警察庁やIPA(情報処理推進機構)、JPCERT/CC(JPCERT コーディネーションセンター)などから注意喚起が出ています。そのため、技術的にすごく目新しいというものではないのです。ですが、むしろ「新しくない」ことが逆にトレンドになっていると言えます。 Emotetは、技術的にはわりと“ローテク”です。ですがローテクをうまく運用することで、非常に爆発的なパワーを有しているというのが特徴です。ですから技術の使い方が上手く、洗練されていると思っています。 警察庁の注意喚起で、2020年頃には十分問題になっていましたが、感染経路は限定的でした。このときの注
「エモテット」感染 再び増加傾向 新たな手口も 対策徹底を | NHK
知人などを装ったメールで感染を広げるコンピューターウイルス「エモテット」について、先月から感染が再び増加傾向にあり、さらに今月に入ってクレジットカード情報を盗み取る新たな手口も確認されているとして、情報セキュリティーの専門機関が対策の徹底を呼びかけています。 コンピューターウイルス「エモテット」は、知人などを装って送られてきたメールの添付ファイルを開くなどして感染すると、端末内の連絡先やメールの内容を盗み取り、過去にやり取りした文書を引用するなどして、さらに別の人にメールを送信して広がっていくのが特徴です。 情報セキュリティーの専門機関「JPCERTコーディネーションセンター」によりますと、国内で端末が感染した可能性のあるメールアドレスの数は、ことし3月をピークにいったんおさまったものの、5月は増加に転じて5022件と、前の月から2倍余りになり、今月はさらに5月を上回るペースで推移していま
Emotet SMB spreader overview
Emotet is back in business and it’s revealing some new tricks. Not long ago, Emotet introduced a new module, the Google Chrome’s credit card grabber. More recently, the SMB spreader module has been brought back and is now, once again, part of the infection chain. Loading the necessary DLLs The very first step of the spreader module is to load and save pointers to the following DLLs: shlwapi.dll us
Emotetマルウェア、Microsoft Officeのマクロのセキュリティ強化に対し戦術進化
ESETは6月16日(現地時間)、運営するセキュリティメディア「WeLiveSecurity」「How Emotet is changing tactics in response to Microsoft’s tightening of Office macro security」において、悪名高いマルウェア「Emotet」の戦術の変化に関する分析結果を紹介した。 EmotetはMicrosoft Officeのマクロ機能を悪用して被害者のPCにインストールされることが分かっている。そのため、Microsoftはマクロ機能のセキュリティを強化することでEmotetによる被害の拡大を抑えようとしているが、ESETによれば、Emotetの開発者はMicrosoftの動きに対応して別の手法の実験に乗り出している様子が伺えるという。 マクロ付きWord文書でEmotetを配信する手法の例 引用:
PCウイルスEmotetがChromeのクレジットカード情報を抜き取る詳細やクレカの情報の消し方を解説 - SNSデイズ
PCウイルスのEmotetがChromeからクレジットカード情報を抜き取ることがわかり、話題になっています。 今回はChromeのクレジットカード情報を削除する方法や、ウイルスへのその他の対策について解説します。 PCウイルスEmotetがChromeのクレジットカード情報を抜き取ると警告 警視庁 2022年6月9日(木)にPCのウイルスであるEmotetが、Chromeのクレジットカード情報を抜き取ることが判明したと警視庁から警告文が出ました。 EmotetはOutlookやThunderbirdなどのメールに有害な添付ファイルやリンクを貼り付けて送り、ユーザーがファイルやリンクを開くことで感染してしまいます。以前より、Emotetに感染したPCのメールアドレスを乗っ取るような形で、今までにやり取りのあったアドレスへとメールを送信し、ウイルスの感染拡大をしてきました。 知っているアドレス
「“拡張子を表示”にしていても表示されない拡張子」を使った攻撃を確認 デジタルアーツがEmotetに関するレポートを公開
これまでEmotetは「Microsoft Word」や「Microsoft Excel」などのファイル(以下、Officeファイル)に仕込んだマクロを使った攻撃が主流だったが、デジタルアーツによると「2022年4月23日あたりからWindowsのショートカットファイルを用いた攻撃を観測している」という。 「標準でマクロの実行を無効化」がきっかけ Windowsはショートカットを「『.lnk』の拡張子を持つファイル」として扱っている。だが、ユーザーがエクスプローラーで確認しようとしても.lnk拡張子は表示されない。これはエクスプローラーの設定で「ファイル名拡張子」にチェックしている状態でも同じだ(なお、レジストリを変更すれば表示は可能)。そのため、Officeファイルなどと誤解して開いてしまう恐れがあるという。 関連記事 総務省が「テレワークセキュリティの手引き(チェックリスト)」の第3版
Emotet malware now steals credit cards from Google Chrome users
HomeNewsSecurityEmotet malware now steals credit cards from Google Chrome users The Emotet botnet is now attempting to infect potential victims with a credit card stealer module designed to harvest credit card information stored in Google Chrome user profiles. After stealing the credit card info (i.e., name, expiration month and year, card numbers), the malware will send it to command-and-control
Emotetの概要: 2021年11月~2022年1月
By Brad Duncan May 17, 2022 at 6:00 AM Category: Malware Tags: Emotet, Macros, mealybug, Mummy Spider, Phishing, TA542 Emotetは現在の脅威概況でもっともメール配信数の多いマルウェアのファミリの1つです。法執行機関の連携により2021年1月にテイクダウンされたものの、2021年11月にはオペレーションを再開し、それ以来突出した脅威に返り咲いています。 本稿では、Emotetの背景と2021年11月の復活以降の活動を振り返り、復活から2022年1月末までのEmotetオペレーションで観測された変化に関する情報を提供します。本稿で取り上げたサンプルで全体像をつかみつつ、Emotetがいま世界中でどのような脅威となっているのかの理解につながればと思います。 パロアルトネットワ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
11月に入りマルウェア「Emotet」の感染に至るメールが観測される、JPCERT/CCが注意喚起 特定のフォルダーにコピーしてから実行するよう促すxlsファイルも
https://twitter.com/bomccss/status/1587721466002702336
Emotet Botnet Started Distributing Quantum and BlackCat Ransomware
https://twitter.com/nekono_naha/status/1534359288348839936
https://twitter.com/bomccss/status/1527526462592778240
Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?