フィッシングメールによって拡散された「Dridex」ダウンローダーの解析レポートを公開

　キヤノンMJは、2020年日本国内においてDridexの感染を狙ったダウンローダーを複数確認しました。Dridexはボットネットを形成するバンキングマルウェアです。主な侵入経路はフィッシングメールであり、感染するとオンラインバンキングなどの認証情報や機密情報が窃取されます。
　今回の解析結果により、従来のDridexダウンローダーに比べ、Excelファイル、Wordファイル、VBSファイルなど様々な形式が存在することが判明しました。さらにDridexダウンローダーは、あまり利用されていないVBAのレイアウトを利用したり、環境により動作が異なったりするなどさまざまな仕組みが施されており、セキュリティソフトの検知を避け、解析を妨害する狙いがあることが明らかになりました。
　本レポートでは、Dridexの主な侵入経路となるフィッシングメールと添付されたダウンローダーの動作について、2020年4月と7月にそれぞれ確認された特徴や違いなどを紹介します。

○フィッシングメールによって拡散されたDridexダウンローダーの解析レポート
【 https://eset-info.canon-its.jp/malware_info/trend/detail/201120.html 】

　マルウェアなどのインターネット上の脅威は日々高度化・巧妙化が進み、法人、個人を問わず金銭的被害や機密情報の漏えいなどリスクが増大しています。このような状況においては、被害に遭わないために最新動向を知り、適切なセキュリティ対策を実施することが重要です。
　キヤノンMJグループはセキュリティソリューションベンダーとして、サイバーセキュリティに関する研究を担うサイバーセキュリティラボを中核に、最新の脅威やマルウェアの動向の情報収集および分析を実施しています。さらに、セキュリティ対策に必要な情報をレポートとして発行し、国内のセキュリティ対策の立案を支援しています。

＜“フィッシングメールによって拡散されたDridexダウンローダーの解析レポート”の主な内容＞

■2020年に日本国内でDridexの感染を狙ったダウンローダーを多数確認
　2020年、Dridexの感染を狙ったダウンローダーを数多く確認しています。
4月に日本で検出したVBA/TrojanDownloader.Agent（VBAを悪用したダウンローダー）を確認したところ、上位の亜種のほとんどがDridexの感染を狙ったダウンローダーでした。確認した亜種だけでもVBA/TrojanDownloader.Agent全体の80%近くを占めていました。また7月においてもDridexの感染を狙ったダウンローダーが引き続き確認されています。

■複数の形式のダウンローダー
　Dridexのダウンローダーには、Excelファイル形式、Wordファイル形式、VBSファイル形式など様々な形式が存在します。
　2020年4月、7月には、実在する複数の運送会社を装ったフィッシングメールや請求書を装ったフィッシングメールを確認しています。4月に確認された実在する運送会社を装ったメールでは、添付されているファイルを開くと、請求書を装った画像が表示され、そこからコンテンツの有効化をクリックするとWMI経由で実行されたPowerShellよりダウンロードされたDridexに感染します。
　7月には、請求書を装ったダウンローダーが添付されたフィッシングメールが確認されました。そのメールに添付されているファイルを開き、コンテンツを有効化すると、Excelのプロセスから直接Dridexをダウンロードし、実行します。
　本レポートでは、それぞれのダウンローダーの動きやDridex感染までの流れを詳細に解説しています。

正規の企業からの請求書を装ったダウンローダー(※一部モザイク処理を施しています)

■さまざまな解析妨害の仕組み
　Dridexダウンローダーで利用されているVBAソースコードには、あまり利用されないLayoutイベントを利用して自動実行を行い、セル内から抽出した文字列をデコードして実行する処理が記載されているものもありました。これは、セキュリティソフトの検知を避ける狙いや解析を妨害する狙いがあるものと考えられます。
　ダウンローダーが接続を試みるURLは、エンコードされた大量のURLリストから選択されます。これは自動解析や動的解析により抽出されたURLがシグネチャに登録される確率を減らしている可能性があります。一部のURLへの通信がブロックされていても、ブロックされていないURLが存在すればダウンロードが成功しDridexに感染する可能性があります。
　本レポートではDridexダウンローダーのさまざまな解析妨害の仕組みについて詳細に解説しています。

URLリストのデコード処理

■ マルウェアやセキュリティに関する情報を「マルウェア情報局」で公開中
　キヤノンMJでは、インターネットをより安全に活用するために、マルウェアや各種セキュリティに関する情報を提供しています。こちらも合わせてご覧ください。

 　マルウェア情報局
【 https://eset-info.canon-its.jp/malware_info/ 】
 
　マルウェア情報局は、キヤノンMJが日本国内総販売代理店として取り扱うESET製品に関する情報や、マルウェアの情報を提供するポータルサイトです。本サイトでは、スロバキアのセキュリティベンダーESET社が発信するニュースを中心に、キヤノンMJのサイバーセキュリティに関する研究を担うサイバーセキュリティラボが発信するレポートを掲載しています。

※ESETは、ESET, spol. s r.o.の商標です。
※Microsoft、ExcelおよびPowerShellは、米国Microsoft Corporationの米国、日本およびその他の国における登録商標または商標です。