EMOTETがWormに進化したようですね

EMOTETというトロイの木馬型MalWareがありますが、この一週間以内で感染力を強めているようです。

もともと、EMOTETは、ばら撒き型スパムメールにTrickBotというMicrosoft WordのDOCファイルやMicrosoft ExcelのXLSファイルのマクロウイルスやJavaScriptファイルが添付されてきて、そのファイルを開いて「コンテンツの有効化」などを行ってマクロやスクリプトを実行してしまうと感染するものでした。

私が観測した範囲では、先々週末頃から既存のメールの返信を偽装した（実際の送信者が異なる）メールが出始めました。

偽装された発信元は、シンガポールなど英語圏の海外がほとんどでした。添付ファイルも英語です。

確認したところ、「偽装された送信元のPCからウイルスが検出されて駆除した」という情報も入ってきました。

EMOTETはバックドアの機能を持っていますので、メールサーバの情報やメールそのものを盗まれたものと判断しました。

先週から、送信元が偽装で無い返信メールにTrickBotが添付されているケースが増えてきました。

徐々にメールの返信文面も日本語が入ってくるようになってきました。

このメールは、感染中のPCのメールクライアントを乗っ取って自動で返信しているか、メールサーバにログインして直接メールに返信している可能性があります。

実際にやり取りされているメールへの返信ですから、開いたり実行ししまったりする可能性はどうしても高くなるわけですね。

この時点で、EMOTETは「トロイの木馬」ではなく「Worm（ワーム）」という（自己感染能力を持つ）ウイルスになった可能性が高いわけです。

さて、有効な対策ですが、拡張子「DOC」や「XLS」を禁止・ブロックして、「DOCX」、「XLSX」を使いようにすることが有効です。

厄介な時代になりましたね。