酷いフィッシングメール



Fraudsters are now deploying the IcedID banking Trojan via phishing campaigns that use
the COVID-19 pandemic as one of several lures, according to Juniper Threat Labs.
コロナ・パンデミックを利用して、マルウエア(IcedID Banking Trojan)を使ったフィッシングキャンペーンを展開中。

some of the phishing messages in this campaign reference the Family and Medical Leave Act,
which allows qualified employees to take unpaid leave, to trick victims into clicking attachments
that contain malware, according to the report.
このキャンペーンのフィッシングメッセージの一部は、資格のある従業員が無給休暇を取ることを可能にする内容で、
被害者をだましてマルウェアを含む添付ファイルをクリックさせます。

The fraudsters using the IcedID Trojan are targeting users' credentials and payment card data from
major financial institutions and retailers, including Amazon.com, American Express, Bank of America,
Capital One, Chase, Discover, eBay, E-Trade, J.P. Morgan, Charles Schwab and Wells Fargo,
このマルウエアは、Amazon.com、アメックス、Bank of America、eBay、E-Tradeなどの主要な金融機関や
小売業者からのユーザー認証情報と支払いカードデータをターゲットにしています。

This campaign starts with a phishing email that contains a malicious attachment -
usually a Word file - that contains macros. If those are enabled, the malware is installed in stages,
このキャンペーンは、マクロを含む悪意のある添付ファイル(通常はWordファイル)を含むフィッシングメールから始まります。
これらが有効になっている場合、マルウェアは段階的にインストールされます。

In the first stage, a malicious binary fetches a second-stage loader that tries to connect to
several malicious domains controlled by the attackers.
最初の段階では、悪意のあるバイナリが、攻撃者によって制御されているいくつかの悪意のあるドメインに
接続しようとする第2段階のローダーをフェッチします。

Most of the domains appear normal except for one that contains a PNG file image that is tagged
with the word "IDAT," according to the report. Once the loader finds that PNG image file,
it will decrypt it using the RC4 algorithm and execute the other binary embedded in the image.
ほとんどのドメインは「IDAT」という単語でタグ付けされたPNGファイル画像を含むものを除いて、正常に見えます。
ローダーがそのPNG画像ファイルを見つけると、RC4アルゴリズムを使用してそれを復号化し、画像に埋め込まれた他のバイナリを実行します。

That binary then starts the third stage, which installs the IcedID Trojan within the infected
devices and hides it as a PNG file to help maintain persistence, according to the report.
このバイナリはその後、感染したデバイス内にIcedIDトロイの木馬をインストールし、
PNGファイルとして非表示にして永続性を維持する第3段階を開始します。

"The second stage will download the succeeding stages," Hahad says.
"From here, the steganography comes into play. The second stage downloads the third stage as a PNG file.
The third stage will download the IcedID main module as a PNG file."
「第2段階では後続の段階がダウンロードされます」とHahad氏は言います。
「ここからステガノグラフィーが始まります。第2ステージは第3ステージをPNGファイルとしてダウンロードします。
第3ステージはIcedIDメインモジュールをPNGファイルとしてダウンロードします。」

参考ページ:Revamped IcedID Banking Trojan Campaign Uses COVID-19 Lure

NEWS & TOPICS 一覧に戻る