ここから本文です
無題な濃いログ
PCのセキュリティ情報、ウイルス感染駆除削除、Yahoo!ショッピング通販を書き出してるブログです (*´_`*)ノ
様写真? 迷惑メールの添付ファイルsvg拡張子でウイルス感染被害
 
イメージ 4
Image いらとや
 
2017年1月17日に始まった日本語表記の添付ファイル付き迷惑メール からネットバンキング不正送金ウイルス Ursnif を感染させる攻撃は本日18日も開始。 <写真をダシに
 
■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「写真」「写真のみ 不足し」「写真 ご送付いただきまして ありがとうございます」「様写真」「様写真お送りします」「R e:写真ありがとうございます」。添付ファイルは写真等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/821512166356324352

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!メール件名は「添付写真について」。このメールに添付されているファイルは写真を装ったウイルスですので、決して開かないでください。"
https://twitter.com/MPD_yokushi/status/821512032054743040
 
添付ファイルはZIP形式の圧縮アーカイブで、これをユーザーが手動で解凍・展開すると中身は SVG ドキュメント拡張子 .svg)という新たな手口になってます。
 
イメージ 1
JPEG写真っぽく偽装された二重拡張子
「P0039988439992_001.jpg.svg
 
■ Scalable Vector Graphics - Wikipedia
https://ja.wikipedia.org/wiki/Scalable_Vector_Graphics
 
不正なsvgファイルをポチポチっとダブルクリックして開くと Internet Explorer が開き、ブラウザ画面上に次の英語のメッセージが表示されます。
 
イメージ 2
! We do not support this file format. For view - install the extension.
(意味 → このファイル形式はサポートされてません。表示するには拡張をインストールしてください。)
この直後に、”表示に必要な拡張” という嘘の名目のWindows向け実行ファイル「xfs_extension.exe」を実行するかブラウザの通知がポップアップ表示され手動で踏ませる手はず。
 
イメージ 3
エラーで実行ファイル存在せず 削除済み? 攻撃者のミス?
 
…ただ、この実行ファイルが置かれてるサーバー(スペインの鳥小屋サイト?)からは 404 not found が返ってきて実行ファイルを取得できない状態でした。
関連するブログ記事

この記事に

開くトラックバック(0)

請求書? 発注依頼書? 迷惑メールの添付ファイルjsでウイルス感染被害
 
イメージ 3
Image いらすとや
 
いちおう去年2016年11月15日を最後に停止してたウイルス感染狙いの 添付ファイル付き日本語迷惑メール(スパムメール) が1月17日に再開したみたい〜。
 
■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「取引情報が更新されました」「【発注書受信】」「備品発注依頼書の送付」「依頼書を」「送付しますので」「発注依頼書」「(株)発注書」。添付ファイルは書類等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/821163487984435200
 
■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「御請求書」。添付ファイルは書類等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/821171946163310592

添付ファイルはZIP形式の圧縮アーカイブで、手動で展開・解凍してみると不正な JavaScriptファイル / JScript Scriptファイル拡張子 .js) が登場します。
 
イメージ 1
ファイル名は二重拡張子
「pdf0008711780565540.pdf.js
「1'16-1'17.80549021.rtf.js
 
イメージ 5
「Commercial_doc_900288377466.docx.js
「DSC_89038948_20170117.png.js
 
PDF文書リッチテキストファイルワード文書PNG画像 と誤認させる二重拡張子になっていて、ファイルの拡張子 に無知だと怪しいことに気づけないことになります。
 
ちなみに、このファイルの動作対応環境はWindowsパソコンのみで、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんは無関係です。

メールからウイルス感染までの流れ

手元で不正なjsファイルを故意にダブルクリックして開いた直後の様子です。
 
イメージ 2
wscript.exe ファイルを介して実行ファイルをダウンロード
その実行ファイル(最下部の緑)がシレッと起動して感染

【感染攻撃の流れ】
受信したzip形式の圧縮アーカイブをユーザーが解凍・展開する
 ↓
Windowsパソコン上でユーザーがjsファイルをダブルクリックして開く
 ↓
外部ネットワークにひっそり接続し実行ファイルをダウンロードして起動
 
実行ファイルはハッキング被害を受けてるっぽい海外の鳥小屋サイト(?)に置かれていて、この正体はネットバンキング不正送金被害に繋がる Ursnif/Gozi のようです。 (ウイルス定義名 TrojanSpy:Win32/Ursnif、TSPY_URSNIF)
 
【実行ファイル検体】
MD5 4d5abd974d213339274581a49e9c2780
www.virustotal.com/ja/file/5feeee23ecd310ed552b56c1992d5e7f6dbf4e656224a9f3073b83770768e994/analysis/1484610025/
 
同一の攻撃者は 去年2016年までは実行ファイル(拡張子 .exe)を踏ませる手口 を採用してたので、新たにスクリプトファイルを踏ませる手口に切り替えた?
  • 今までの手法
    メール添付 .zip → 中身 .exe(Bebloh/Shiotobウイルス) → Ursnifウイルス
     
  • 新たな手法へ?
    メール添付 .zip → 中身 .js(Nemucodウイルス) → Ursnifウイルス

被害防止できる無料ウイルス対策

メールを受信しただけ、あるいはメールソフトのプレビュー機能でメッセージが表示されただけでは別に何も起こらないです。
 
スクリプトファイル(拡張子 .js)をダブルクリックして開く
アウト
 
ヒューマンエラーが原因で ”うっかり” をやらかすのを前提に、この攻撃を効果的に防止してウイルス感染失敗となる無料ウイルス対策あるのでどぞー!
 
イメージ 4
確認ダイアログを表示するよう設定すると感染回避チャンスが
 
関連するブログ記事

この記事に

開くトラックバック(0)

ご注意OFFICEのプロダクトキーが不正コピー迷惑メールの正体 フィッシング詐欺で危険!
 
ソフトウェア開発会社マイクロソフトに成りすまし、オフィス製品 Office を不正コピーで使用してると警告する通知っぽく装った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれたみたいで。
件名 ご注意!!OFFICEのプロダクトキーが不正コピーされています。
差出人 support@microsoft-securityprotection-support.com

セキュリティ警告!!
お使いになっているオフィスソフトの授権が終了されてしまう可能性があります!!
日本マイクロソフトセキュリティチームはお使いのオフィスソフトのプロダクトキーが違法コピーをされた可能性があることを発見しています。
攻撃者はお使いのオフィスソフトのプロダクトキーを利用して他のオフィスソフトを起動しようと試みています。ご本人の操作なのかどうかが確定できないため、お手数ですが、直ちに検証作業をしてくださいますようお願いします。
検証作業をしていただけない場合、日本マイクロソフトはお使いのオフィスソフトのプロダクトキーの授権状態を終了させていただきますので、ご了承ください。
今すぐ認証
日本語がビミョ〜に変で怪しすぎだけど、真に受けてしまうと心理的に焦って慌ててしまう内容になってます。

誘導先は偽マイクロソフトのページ

メール本文中の{今すぐ認証}リンクをクリックすると、誘導先は Office の公式サイトっぽく外観デザインが偽装されてる日本語表記のページで、ブラウザのダイアログをポップアップ表示して強く警告します。
 
イメージ 3
 
イメージ 2
不正コピーを断罪
 
《ブラウザのダイアログ1》
セキュリティ警告!!
お使いになっているオフィスソフトの授権が終了されてしまう可能性があります!!
日本マイクロソフトセキュリティチームはお使いのオフィスソフトのプロダクトキーが違法コピーをされた可能性があることを発見しています。攻撃者はお使いのオフィスソフトのプロダクトキーを利用して他のオフィスソフトを起動しようと試みています。
ご本人の操作なのかどうかが確定できないため、お手数ですが、直ちに検証作業をしてくださいますようお願いします。
検証作業をしていただけない場合、日本マイクロソフトはお使いのオフィスソフトのプロダクトキーの授権状態を終了させていただきますので、ご了承ください。

《ブラウザのダイアログ2》
あなたのOfficeプロダクトキー及び製品包装を他人に漏えいしないでください。
直ちに下記の手順で検証を行って、安全で信頼できるpinコードを設定することであなたのOfficeを保護してください。
検証をしていただけない場合は、あなたのプロダクトキーが間もなく取り消されることになります。
Officeに新しいプロダクトキーを改めて購入しなければなりませんので、ご注意ください。

《ページの内容》
ご注意!!OFFICEのプロダクトキーが 不正コピーされています
お客様のOfficeのプロダクトキーが 不正コピーされていることが日本マイクロソフトに検出されました。正規版の利用者であれば、日本マイクロソフトの認証にご協力ください。でなければ24時間後に当プロダクトキーを無効にします
{今すぐ認証}

 
このページの{今すぐ認証}リンクをクリックすると、メールアドレスとパスワードの入力欄が用意された偽サインインページへ移動、Microsoftアカウント を盗みとることが目的のフィッシングサイトと分かります。
 
イメージ 1
偽サインインページ
 
マイクロソフトをかたるフィッシング (2017/01/12) フィッシング対策協議会
https://www.antiphishing.jp/news/alert/microsoft_20170112.html
 
マイクロソフトを装った不審メールの配信について | News Center Japan
http://news.microsoft.com/ja-jp/2017/01/12/

フィッシングサイトのURLアドレス

フィッシングサイトのURLアドレスは正規の microsoft.com でも何でもなく、サーバーの地理的位置はロシアです。
 
《フィッシングサイトのURLアドレス》
http://microsoft-securityprotection-support[.]com/
http://microsoft-securityprotection-support[.]com/verify.html
 
> www.virustotal.com/ja/ip-address/5.63.154.184/information/
 
ドメイン保有者のWHOIS情報を見てみると、(デタラメの可能性が高いけど)中国上海の外国人が取得してることになってます。
 
イメージ 5
 
Registrant Name: Lev Aleksandr
Registrant Organization: Private Person
Registrant Street: Shankhai-roud  1 d
Registrant City: Shankhai ploshchad
Registrant State/Province: ShankhShankhai
Registrant Postal Code: 120000
Registrant Country: CN
Registrant Email: rippertheworld@gmail.com

 
フィッシングサイトのHTMLソースを確認してみると、最後尾付近に中国で提供されてるアクセス解析サービスのコードが確認できます。
 
イメージ 4
 

この記事に

開くトラックバック(0)

詐欺広告 2017年年次訪問者調査Chrome/Internet Explorerユーザー!? 有料動画サイト登録
 
2015年、2016年と確認されていて、ダマされるユーザーさんまだ存在するのか疑問だけど、2017年も同じく 海外の有料動画配信サイト へ会員登録させることが目的の 詐欺広告ページ ご注意を!  <Googleやマイクロソフトは無関係!
 
イメージ 1
2017 年年次訪問者調査 Chrome ユーザー調査
 
イメージ 2
2017 年年次訪問者調査 Internet Explorer ユーザー調査
2017 年年次訪問者調査
2017 年年次訪問者調査 ([IPアドレスから判定した地域名])
{Chrome: ユーザー調査
{Internet Explorer: ユーザー調査
{ブラウザ: ユーザー調査
おめでとうございます!
あなたは、2017 年年次訪問者調査の参加者に特別に選ばれました!是非、Chrome についてのご意見をお聞かせください。感謝の印として、 HD Streaming Movies® を獲得するチャンスが与えられます!
http://blogs.yahoo.co.jp/fireflyframer/34442998.html
Copyright © 2017 - All Rights Reserved.
お問い合わせ - 諸条件 - プライバシー - Affiliates
この調査は広告です。弊社ではあなたのプライバシーを大切に考えています。このアンケートにより弊社があなたの個人情報を収集することはありません。弊社が定めるプライバシーポリシーおよび諸条件をお読みください。いずれのブラウザも本広告の作成元ではなく、またこれに参加したり、何らかの形でこれを審査または承認したという事実もございません。本ウェブサイトは、取り上げた製品が購入された場合に報酬を受け取ります。製品毎に重要な諸条件が定められています。製品を注文する前に、全ての製品の諸条件をお読みください。
他愛もないアンケート4つに回答すると、全員が「HD Streaming Movies」が貰えるとなります。 <「本日限り」「在庫数1」は大ウソ
 
イメージ 7
MEGAFLIX 調査を完了していただきありがとうございました!
2017 年年次訪問者調査
調査を完了していただきありがとうございました! 参加のお礼に、以下の商品をご用意いたしております: [曜日], [月] [日], 2017.
以下のいずれかをお選びください (本日限り):
MEGAFLIX
HD Streaming Movies
通常価格: \ 7900
本日限り: \ 0.00
ここをクリック

「HD Streaming Movies [ここをクリック]」部分をクリックすると、上のアンケートとは無関係な有料動画配信サイトに会員登録するためのページへ移動します。<アンケートページとURLが違う別サイトに移動してる
 
イメージ 4
 
イメージ 3
 
イメージ 5
 
【詐欺広告から会員登録させる流れ】
ネットサーフィン中に詐欺広告ページへ強制転送される
 ↓
ブラウザ開発元が主催するアンケート調査と誤認させて「
おめでとうございます!」で商品が貰えて幸運が降ってきたと興奮させる 《当選詐欺》
 ↓
海外の有料動画配信サイトの会員登録ページ 
 
「有料サイトの会員」になるページにも関わらず、ダマされるユーザーさんはアンケートに答えて商品が貰えて、そのために必要な個人情報やクレジットカード情報だと勝手に思い込んで躊躇なく送信するとー。
 
iPhone人気に便乗していると考えられる手口にご注意を 2015年9月の呼びかけ:IPA 情報処理推進機構
https://www.ipa.go.jp/security/txt/2015/09outline.html
 
繰り返されるネット詐欺事例、アンケートからフィッシングへ誘導 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/13731

アンケートの回答はどこにも送信されてない

ちなみに、アンケートに答えた直後に回答データを送信してる風のシーンが表示されるけど、HTMLソースを確認してみると実は回答データを送信する処理がいっさい存在しません。 <回答して先に進めていく部分に危険性はない
 
イメージ 6
CSSスタイルシートを無効にすると1枚ページになる
 
もっともらしく見えるアンケートは実体のないデタラメな演出で、ユーザーを有料サイトへ変遷させる途中の踏み台にすぎません。
関連するブログ記事

この記事に

開くトラックバック(0)

NEXON会員登録情報変更通知メール? 突撃フィッシング詐欺サイトで危険!
 
イメージ 3
Image いらすとや
 
オンラインゲームサイト NEXON(ネクソン) に成りすました日本語表記の 迷惑メール(スパムメール) が不特定多数にドバッとバラ撒かれてる〜。
 
メールの差出人が偽装されてるけど正体はフィッシング目的の偽メールで、厄介なことにこの手の怪しいメールで見られる 変な日本語 が皆無で完璧な文章です。
件名 【NEXON】会員登録情報変更通知メール
差出人 NEXON <oshirase@nexon.co.jp>

※このメールは送信専用です。このメールに返信をいただきましても対応や回答返信は行っておりません。
お客さまご自身で変更していない場合は盗用の可能性がございます。
至急以下のURLをクリックしてください。
(PC?スマートフォンからご利用ください。)
https://www.nexon.co.jp/mypage/change-complete.aspx?k=IDYAXXUU
日頃はNEXONをご愛顧いただき、誠にありがとうございます。
お客様の会員登録情報が以下の通り変更されました。
・変更日時
{2016年12月[数字]日 23:07:46
{2017年1月[数字]日 23:07:46
・変更項目
ワンタイムパスワード
株式会社ネクソン http://www.nexon.co.jp/
NEXONは、オンラインゲームの他、コミュニケーションを楽しくする各種サービスを提供しています。
件名 【警告】異常な回数のログイン試行がありました
差出人 NEXON <oshirase@nexon.co.jp>
※このメールは送信専用です。このメールに返信をいただきましても対応や回答返信は行っておりません
※ご不明な点は、NEXONウェブサイトの『よくある質問』をご確認ください。
日頃はNEXONをご愛顧いただき、誠にありがとうございます。
ご利用のアカウントに対して、一定時間内に基準値を超えた
異常な回数のログイン試行を確認したため、ご連絡します。
万が一、お客様ご自身のログイン試行ではない場合、お客様のNEXON IDや
パスワードの情報が漏えいし、第三者から不正なアカウント利用を
狙われている可能性があります。
至急、NEXONポータルサイトにアクセスの上、パスワード変更や
ワンタイムパスワードの利用設定などのセキュリティ対策を行ってください。
【マイページ ログイン履歴】
ログインの詳細な履歴は、以下のページからログインすることでご確認いただけます。
https://www.nexon.co.jp/mypage/login-record/
━━━━━━━━━━━━━━━━━
■不正アクセス対策
━━━━━━━━━━━━━━━━━
※本メールは第三者(なりすまし)による不正ログイン試行の可能性に対して
 セキュリティ上の確認を行うために送信されています。
※本メールは不正ログインの可能性が高いと思われるケースに対して、
 お客様の任意設定によるログインチェックアラートメールサービスのご利用有無に関わらず送信しています。
※このメールは送信専用です。このメールに返信をいただきましても対応や回答返信は行っておりません。
※本メールについてご不明な点は、NEXONウェブサイトの『よくある質問』をご確認ください。
 
http://faq.nexon.co.jp/faq/show/5607
株式会社ネクソン
http://www.nexon.co.jp/
NEXONは、オンラインゲームの他、コミュニケーションを楽しくする各種サービスを提供しています。
ほとんどのユーザーさんが身に覚えがないはず…。
 
でも、何かしらオンラインゲームやネクソンに縁あるユーザーさんだと、もっともらしい通知に 『お客さまご自身で変更していない場合は盗用の可能性』 という衝撃的な情報でビックリ仰天、思わず誘導リンクをポチッと踏まざるえなくなる魂胆です。

誘導先はフィッシング詐欺サイト

さっそく誘導先へ突撃してみると、ネクソンIDパスワード の入力欄が用意されてる日本語表記の 偽ログインページ でした。
 
イメージ 1
「NEXON IDでログイン | オンラインゲーム NEXON(ネクソン)」
 
さらに、その先に ワンタイムパスワード を盗みとるページも用意されてます。
 
イメージ 2
『ワンタイムパスワード認証 | NEXON(ネクソン)』
 
ネクソンの正規ログインページ 「https://login.nexon.co.jp/」 と見比べてみると完璧に瓜二つです。
 
メールの内容を真に受けて焦ってるので躊躇する場面なく重要なアカウント情報を送信してしまうことになります。

【重要】ネクソンを装ったフィッシングメールにご注意ください| お知らせ | PCゲーム・オンラインゲームのNEXON公式サイト
http://www.nexon.co.jp/news/detail.aspx?no=132318

ネクソンフィッシングサイトのURLアドレス

見た目のデザインはいくらでも偽装して簡単に欺けるので、フィッシングサイトの見分け方は ブラウザ上部のアドレスバー で判断♪ <ネクソンっぽい似通ったURLアドレスになってる
 
【フィッシングサイトURLアドレス例】
http://www.nexon-login[.]com/
http://www.nexon-loginb[.]com/
http://www.nexon-loginm[.]com/
http://www.nexon-loginn[.]com/
http://www.nexon-tos[.]com/
http://www.nexon-loginv[.]com/
http://www.nexon-loginc[.]com/
http://www.nexon-loginx[.]com/
http://www.nexon-loginz[.]com/
http://www.nexon-loginl[.]com/
http://www.nexon-logink[.]com/
http://www.nexon-loginj[.]com/
www.virustotal.com/ja/ip-address/122.10.88.212/information/ 香港サーバー
-
http://login.nexon.co.jp.account-crsel.usa[.]cc/
http://login.nexon.co.jp.account-nexon.usa[.]cc/
http://login.nexon.account-login-crzl.usa[.]cc/
http://login.nexon.account-login-crsl.usa[.]cc/
www.virustotal.com/en/ip-address/202.168.151.138/information/  香港サーバー

関連するブログ記事

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事