AV による検出の回避は、スパムキャンペーンを実施するマルウェア作成者のルーチン作業の一 部です。これを達成する以前からの効果的な方法は、パスワードで保護されたドキュメントをスパ ムすることです。最近、このようなパスワードで保護された文書がスパムアウトされていることがわ かりました。さらに悪いことに、その中身はランサムウェアでした。

図 1： 添付ファイル「Invoice.doc」のパスワードを含む電子メールサンプル

図 2： ユーザーは文書を開くためにパスワードを入力する必要があります

「Invoice.doc」の添付ファイルにはマクロが含まれています。ユーザーのマクロセキュリティ設定 が [低] の場合、ドキュメントは自動的にマクロを起動します。さらに、マクロはパスワードで保護さ れています。残念なことに、これに直面したユーザーの多くは、この文書がバックグラウンドで何を するか分からないでしょう。

マクロの内容を見ると、hxxp://209[.]141[.]59[.]124/azo.exe からファイルをダウンロード し、%temp%\qwerty2.exe に保存して起動します。最終的に同じ IP アドレスから、この azo.exe は HERMES 2.1 ランサムウェアである hrms.exe をダウンロードして実行します。

図 3：「Invoice.doc」添付ファイル内のマクロ

Hermes 2.1 ランサムウェアは、独自のファイル拡張子を暗号化されたファイルに追加しません。感 染が終了すると、ユーザーのデスクトップから DECRYPT_INFORMATION.html が起動します。

図 4： Hermes 2.1 ランサムウェア DECRYPT_INFORMATION.html

興味深いことに、ほぼ同時に、件名とメールヘッダと本文がほぼ同じメールサンプルも観測されま した。ただし、添付ファイルは XML Paper Specification（XPS）ファイルの「invoice.xps」というファイ ルでした。XPS はマイクロソフトの PDF に対する答えであるはずでしたが、Windows には XPS ビュ ーアが組み込まれていました。

図 6： 添付ファイルが「invoice.xps」であり、異なる電子メール署名者が使用されている 図 1 とほぼ同じ電子メールサンプル

添付ファイル「invoice.xps」には FixedPage.NavigateUri プロパティがあります。これをクリックする と、ユーザーは hxxp://rainbowrealty[.]com/ads/herewego.html にリダイレクトされます。

図 7：添付ファイル "invoice.xps"

図 8： 「invoice.xps」には FixedPage.NavigateUri プロパティがあります

残念ながら、この URL はこの執筆時点ではアクセスできなくなりました。もしできていれば、同じラ ンサムウェアや他のマルウェアにつながった可能性があります。それが示すのは、さまざまなファ イル形式とテクニックを使用する同じアクター（犯人）です。

添付ファイルがパスワードで保護された電子メールは、セキュリティが高いという印象を与えるかも しれません。しかし、これまで図示したように、慎重に取り扱う必要があります。悪い人々も、主に 添付ファイルのゲートウェイ検査を回避するために、パスワードを使用することを好むのです。

侵害証跡 IOC:

invoice.doc (38536 bytes)

SHA1: 6A012260238CA51FDDDAB12A5FF6FD2E1957D061

azo.exe (393216 bytes)

SHA1: 3900E2E51E8A84A730491771EE05C17EC4596962

hrms.exe (393216 bytes)

SHA1: 9DB4EAC9CBF17ACC0233F4D5808DB8F45EAF7B30

Invoice.xps (442266 bytes)

SHA1: ec688a10355c52f24f3331b4e6cbbbc23a2f4efc