IcedIDはネットバンキングの情報を窃取するトロイの木馬型マルウェアですが、他のマルウェアを投下するローダーとしての役割も有しEmotetと同様の機能を有するマルウェアです。Microsoft Security Intelligenceによると、現在、IcedIDによるキャンペーンが展開されており、攻撃者は、欧米当局により破壊されたEmotetに代わりIcedIDを使用している可能性があるということです。
法的措置をほのめかして誘導
Microsoft Security Intelligenceによると、現在、行われているIcedIDキャンペーンは、企業等のウェブサイトの問い合わせフォームを利用し、著作権侵害などを訴えて、特定のURLに誘導してIcedIDに感染させようとするものです。問い合わせフォームから企業等に届くメールはこんな内容のようです。
「私はプロの写真家です。私は困惑しています。御社は著作権者から訴えられる恐れがあります。盗まれた画像を使用することは違法です。ダウンロードをして確認してみてください」
そして、文章の下に貼ってあるリンクをクリックするとコンピューターがIcedIDに感染するという具合です。IcedIDに感染するとQakbotやTrickbotなどのマルウェアが投下され、システムが乗っ取られてランサムウェアによる金銭要求に至る恐れがあります。Microsoft Security Intelligenceによると、問い合わせフォームより寄せられた文面に貼ってあるURLは、Googleサイトでホストされているウェブサイトにリダイレクトされており、コンテンツを開くためにGoogleアカウントでログインするように求められ、ログインすると自動的に非常に難読化された.jsファイルを含む悪意のあるZIPファイルがダウンロードされてIcedIDに感染するということです。Microsoftはこの問題に関し、Googleのセキュリティチームに通報しているということです。
MaaSモデルに移行するとの見方も
さらに、アメリカのサイバーセキュリティのスタートアップ企業、Uptycsの脅威調査チームによると、電子メールに添付されたxlsmファイルを介してIcedIDが配布されている実態もあるようです。Xlsmは、Excelスプレッドシートセルで使用されるExcel4.0マクロ数式の埋め込みをサポートしていますが、攻撃者はこの機能を利用して任意のコマンドを埋め込み、悪意のあるペイロードをダウンロードさせているということです。
Uptycsの脅威調査チームは今年1月から3月までの3カ月間に、悪意のあるオフィスドキュメントから15,000を超えるHTTPリクエストを確認、これら悪意のあるオフィスドキュメントの93%が拡張子xlsまたはxlsmを含むMicrosoft Excelスプレッドシートだということです。Uptycsの脅威調査チームはIcedIDはEmotetの代わりに使用されており、サービスとしてマルウェアを配布するMalware-as-a-Service(MaaS)のモデルに移行すると分析しています。FireEyeのレポートでは、IcedID感染後にMazeやEgregorなどのランサムウェアが展開されたケースが報告されています。
日本国内では昨秋、トレンドマイクロがIcedIDの拡散について注意を喚起し、JPCERT/CCもツイッターでIcedIDを感染させるなりすましメールへの注意を呼びかけた経緯があります。破壊されたEmotetに代わるマルウェアインフラとしてIcedIDが使用されるとの見方が強まっていることから、国内においてもIcedIDの動向に注意する必要がありそうです。
■出典
https://threatpost.com/icedid-banking-trojan-surges-emotet/165314/
https://www.uptycs.com/blog/icedid-campaign-spotted-being-spiced-with-excel-4-macros