11月末頃から確認されているvvvウィルスのランサムウェア「CrypTesla」が世界的に拡散しているが、CrypTeslaが拡散されているマルウェアスパム攻撃が国内でも急増していることをトレンドマイクロが確認し、その手口を紹介している。
CrypTeslaはZIP圧縮されたJavaScriptファイルを添付した「Invoice」、「Payment」など請求書関連のタイトルのマルウェアスパムにより拡散され、12月11日までに11万通以上拡散が確認されている。このスパムはタイトルも本文も英語であるため、特に日本人をターゲットにしているわけではない。
マルウェアスパムは添付のZIPファイルを展開すると 難読化されたJavaScriptファイルが現れる。ファイルダウンロード元URLが書かれ、いくつかは正規サイトがWordPressの脆弱性を突いて改ざんされ、不正ファイル配布に利用されたと推測される。ダウンロード元URLはブラウザや wgetコマンドなどでアクセスするとエラーになるがJavaScript ファイルの実行でアクセスするとファイルがダウンロードされるなど、動作によって動きが変わる仕組みになっていた。
この手口では、メール受信だけでは感染せず、添付のZIPファイル内の JavaScriptファイルを展開しなければランサムウェアには感染しない。展開には複数のクリックを要するため、不審なメールに気づく可能性が高い。感染を防ぐためにも、不用意にファイルを実行しないよう呼びかけている。
