不正URLへのアクセス、不正メールの受信
-
メール受信した
弊社お客様47社
URLアクセスした
弊社お客様24社
-
2019/03/27
※2019/03/28 更新
03/27から発生していたバンキングマルウェアに感染させると考えられるメールの受信・URLアクセスをブロック
件名:
3月→
3月の請求書を添付するので
【ご請求書】【ライフラインのご連絡先】
こちらの入金期日は3月15日の午後12時までと
請求書を添付いたします
郵送願います
Faxください
写真添付
写真送付の件
添付ファイル名:
201903.①._送付__nnnnnnnn.xls
2019年3月27日nnnnnnn.XLS
20190327nnnnnn nnnn.xls
nnnnnnnnnnnnx.xls
※太赤字の「n」はランダムな数字が入ります。
※太赤字の「x」はランダムな英数字が入ります。
添付ファイルハッシュ値:
07395f413e04245a8f6cab5fa888c0f08878f07bac6ccc479aa89469bb443bd4
bdc6b56c659fefc41779bcd42064bc7ceae67a495407e786451747dea1539cc0
e2b647dc004532a5eaa72f29407fb06e4d3457596730814402602806fc8ab506
48bb5bc1399e43b0c07527a69935f6b2254686dbcfa544af4019e2ac1592baff
感染プロセス
メール受信
↓
添付ファイルを開き、マクロを有効化する
↓
hxxp(s)://onbraker[.]com/
↓
※以降の通信は外部情報と弊社調査および弊社ログ情報から推測
hxxp(s)://podertan[.]com/
※ 接続しようとしたURLは、不要なアクセスを避けるため、一部変更しております。
製品対応状況
▽m-FILTER
偽装レベル5
・添付ファイル偽装判定
・送信元偽装判定
アンチスパム
・システムフィルター判定
→「隔離/削除設定」でブロック可能
▽i-FILTER
hxxp(s)://onbraker[.]com/
hxxp(s)://podertan[.]com/
2019年3月27日
[カテゴリ外](※1)→[脅威情報サイト](※2)を追加
(※1)「推奨フィルタ―設定」でブロック可能
(※2)i-FILTER Ver.10のみ
