サイバーセキュリティツールなどを提供する日本プルーフポイント(東京都千代田区)は8月29日、米国、英国、日本などの税務当局になりすまし、マルウェア感染を目的にフィッシングメールを送る攻撃キャンペーンを各国で確認したとして警告した。同社はマルウェアの内部ファイル名と文字列から、マルウェアを「Voldemort」(ヴォルデモート)と命名。攻撃の特徴をまとめた調査結果を公開している。
攻撃を観測したのは8月5日。2万件を超えるメールが70以上の組織に送られたという。文言は全てカスタマイズされており、言語も国ごとに合わせたものだった。ターゲットとなった組織は保険会社や航空宇宙、運輸系の事業者、大学など。このうち保険会社への攻撃が最も多く、全体の4分の1近くを占めた。
Windowsユーザーがメール中のリンクをクリックすると、エクスプローラーを開くよう求めるポップアップが表示され、許可すると悪意あるLNKファイル(ショートカット)が現れる。これを実行するとPowerShellが起動し、Pythonスクリプトを実行。コンピュータ名などの情報を取得する他、Voldemortを実行する仕組みという。
日本プルーフポイントによればVoldemortは「情報収集や追加のペイロード(悪意あるコード)を投下する機能を備えたカスタム・バックドア」といい、金銭的利益ではなくスパイ活動を目的にしている可能性があると分析している。同社は防御策として、LNKファイルやPowerShellの実行に続く不審な行動を監視するなど、複数の手段を挙げている。