ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ
積算書? 注文書・注文請書? 迷惑メールjsファイル開いてウイルス感染する裏側
 
昨日1月19日に行われた 添付ファイル付き迷惑メール(スパムメール) の配信キャンペーンの攻撃手口を画像付きで紹介しまーす。
 

■ 警察庁さんのツイート: "【コンピュータウイルス付メール情報】「注文書・注文請書」等と題するメールが配信されています。添付書類の確認や返信を求める内容となっていますが、このメールの添付ファイルは書類等を装ったウイルスですので、開かないでください。"
https://twitter.com/NPA_KOHO/status/821939485248131072

■ 警察庁さんのツイート: "【コンピュータウイルス付メール情報】「のご注文ありがとうございます」「ダイレクトメール発注」と題するメールが配信されています。国内に実在する配送業者を使用したとする偽の商品発送通知で、添付ファイルは文書ファイルを装ったウイルスですので、開かないでください。"
https://twitter.com/NPA_KOHO/status/822285962692546560


■ 警察庁さんのツイート: "【コンピュータウイルス付メール情報】「積算書」と題するメールが配信されています。添付ファイルはエクセルファイルを装ったウイルスですので、開かないでください。また、本文に記載された電話番号は、数字をランダムに組み合わせたものですので、連絡をしないでください。"
https://twitter.com/NPA_KOHO/status/822287102222024704
 
まず、こんな日本語メールを受信しました。
 
イメージ 1
通販サイトの商品発送通知を装う「ダイレクトメール発注」
 
ヤバいのはあくまで 添付ファイル なので、単にメールを受信しただけ、あるいはメールソフトのプレビューでメッセージが表示されただけでウイルスが勝手に起動して感染なんて起こりません。 

スクリプトファイル開くとUrsnifウイルス感染

ZIP形式のファイルは圧縮されたままでは意味ないので、手動で展開・解凍すると中身は次のような スクリプトファイル でした。
 
イメージ 2
「1.18.039478964965.pdf.js」「ATT20170119.txt.js
「II0990113884-00193.pdf.js」「SM9900289278684.doc.js
  1. 種類は JScript Script ファイル / JavaScript ファイル、拡張子 〜.js
    └ アイコンは変更できない形式なので白紙&巻き物の図案
     
  2. 二重拡張子にしてPDF文書、テキスト、Word文書っぽく装ってる
    拡張子を表示しない設定が有効のまま だと .js に気づかないやも
     
  3. Mac OS、Androidスマホ、iOS(iPhone/iPad)、ガラケー などは動作対象外の形式で無関係
このjsファイルをWindowsパソコン上でポチポチッとダブルクリックして開くと、ネットバンキング不正送金ウイルス Ursnif(アースニフ) がシレッと起動しアウトー!
 
イメージ 3
Ursnifウイルスに感染した瞬間 (一番下の緑のファイル)
 
【実行ファイルUrsnif】
MD5ハッシュ値 3c2200577d658460f4c66ddfd28685ef
www.virustotal.com/ja/file/3cbcd861a82da68fa0392c4ca825061feb759986cdbf633508309ae84fcee376/analysis/1484781617/

スクリプトファイルの役目はダウンロード

この時バックエンドで何が行われてるかというと、欧州ドイツのサーバー(シニアパソコン教室のサイト?)に接続し、Windows向け実行ファイルをダウンロードしてます。
 
イメージ 4
wscript.exeファイルを介して実行ファイルを落としてる
 
ちなみに、このドイツサーバーは攻撃者にハッキングされ物置きとして悪用されてるようで、そのディレクトリが丸見えだったのでアップされてる実行ファイルを目視できました。
 
イメージ 5
imagesフォルダにナゾの実行ファイルが…

Windowsファイアウォールで無料対策

今回の攻撃でスクリプトファイルの役目は、実行ファイルをダウンロードしてきてそれを起動させることだけです。
 
イメージ 6
[送信の規則] で接続をブロックする〜
 
もし Windowsファイアウォール(標準搭載、無料)を利用してるなら、あらかじめ wscript.exe の通信をブロックしておくと、うっかりスクリプトファイルを踏み抜いても実行ファイルはダウンロードされず100%確実に感染攻撃が失敗します。
 
関連するブログ記事

この記事に

開くトラックバック(0)

様写真? 迷惑メールの添付ファイルsvg拡張子でウイルス感染被害
 
イメージ 4
Image いらとや
 
2017年1月17日に始まった日本語表記の添付ファイル付き迷惑メール からネットバンキング不正送金ウイルス Ursnif を感染させる攻撃は本日18日も開始。 <写真をダシに
 
■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「写真」「写真のみ 不足し」「写真 ご送付いただきまして ありがとうございます」「様写真」「様写真お送りします」「R e:写真ありがとうございます」。添付ファイルは写真等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/821512166356324352

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!メール件名は「添付写真について」。このメールに添付されているファイルは写真を装ったウイルスですので、決して開かないでください。"
https://twitter.com/MPD_yokushi/status/821512032054743040
 
添付ファイルはZIP形式の圧縮アーカイブで、これをユーザーが手動で解凍・展開すると中身は SVG ドキュメント拡張子 .svg)という新たな手口になってます。
 
イメージ 1
JPEG写真っぽく偽装された二重拡張子
「P0039988439992_001.jpg.svg
 
■ Scalable Vector Graphics - Wikipedia
https://ja.wikipedia.org/wiki/Scalable_Vector_Graphics
 
不正なsvgファイルをポチポチっとダブルクリックして開くと Internet Explorer が開き、ブラウザ画面上に次の英語のメッセージが表示されます。
 
イメージ 2
! We do not support this file format. For view - install the extension.
(意味 → このファイル形式はサポートされてませーん。表示するには拡張をインストールしてくだされ。)
この直後に、”表示に必要な拡張” という嘘の名目のWindows向け実行ファイル「xfs_extension.exe」を実行するかブラウザの通知がポップアップ表示され手動で踏ませる手はず。
 
イメージ 3
エラーで実行ファイル存在せず 削除済み? 攻撃者のミス?
 
…ただ、この実行ファイルが置かれてるサーバー(スペインの鳥小屋サイト?)からは 404 not found が返ってきて実行ファイルを取得できない状態でした。

[追記] svgファイルからUrsnifウイルス感染

午後(?)になって実行ファイルが置かれた状態になったので続きです。
 
IEブラウザの確認 『このWeb ページはスクリプトやActiveXコントロールを実行しないように制限されています。{ブロックされているコンテンツを許可}』 が表示されるので許可ボタンを押すと 「xfs_extension.exe」 を [実行] [保存] するか確認されます。
 
イメージ 5
 
ここで [実行] [保存] をポチッと押すと、手元でチェックした時点だと SmartScreenフィルター のおかげで強制的にダウンロードを阻止されてしまい感染させてもらえず。
 
イメージ 6
「xfs_extension.exe のダウンロードは安全ではないため、
SmartScreenフィルターでブロックされました。」
 
SmartScreen フィルター: よく寄せられる質問 - Windows ヘルプ
https://support.microsoft.com/ja-jp/help/17443/
 
もしSmartScreenフィルターの対応ができてない時点だったり、故意にSmartScreenフィルターを無効化してた場合に [実行] しても警告が表示されます。
 
イメージ 7
「xfs_extension.exe の発行元を確認できませんでした。
このプログラムを実行しますか?」
 
今回は感染したいので故意に実行すると、ネットバンキング不正送金被害に繋がるUrsnifウイルスが起動してアウトとなります。
 
イメージ 8
 
【実行ファイルのハッシュ値】
MD5 4da11c829f8fea1b690f317837af8387
www.virustotal.com/ja/file/3af18232a9175dea624a7947e6edef6a57457bdf6d3ba0ead58856a139db2832/analysis/1484718168/
 
Windowsユーザーに警告を無視してボタンを複数回押させないと感染に至らないので成功率は低そうな気がするけどどうなんでしょ?
 
昨日17日に行われた メールの添付ファイルjsでUrsnifウイルス感染 させる攻撃は、トレンドマイクロによると 『このマルウェアスパムから拡散される「URSNIF」は、17日12時時点までに 2,000件以上の検出台数を確認』 だとか。
 
2017年もマルウェアスパムの攻撃は継続中、新たな「火曜日朝」の拡散を確認 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/14296
関連するブログ記事

この記事に

開くトラックバック(0)

請求書? 発注依頼書? 迷惑メールの添付ファイルjsでウイルス感染被害
 
イメージ 3
Image いらすとや
 
いちおう去年2016年11月15日を最後に停止してたウイルス感染狙いの 添付ファイル付き日本語迷惑メール(スパムメール) が1月17日に再開したみたい〜。
 
■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「取引情報が更新されました」「【発注書受信】」「備品発注依頼書の送付」「依頼書を」「送付しますので」「発注依頼書」「(株)発注書」。添付ファイルは書類等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/821163487984435200
 
■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「御請求書」。添付ファイルは書類等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/821171946163310592

添付ファイルはZIP形式の圧縮アーカイブで、手動で展開・解凍してみると不正な JavaScriptファイル / JScript Scriptファイル拡張子 .js) が登場します。
 
イメージ 1
ファイル名は二重拡張子
「pdf0008711780565540.pdf.js
「1'16-1'17.80549021.rtf.js
 
イメージ 5
「Commercial_doc_900288377466.docx.js
「DSC_89038948_20170117.png.js
 
PDF文書リッチテキストファイルワード文書PNG画像 と誤認させる二重拡張子になっていて、ファイルの拡張子 に無知だと怪しいことに気づけないことになります。
 
ちなみに、このファイルの動作対応環境はWindowsパソコンのみで、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんは無関係です。

メールからウイルス感染までの流れ

手元で不正なjsファイルを故意にダブルクリックして開いた直後の様子です。
 
イメージ 2
wscript.exe ファイルを介して実行ファイルをダウンロード
その実行ファイル(最下部の緑)がシレッと起動して感染

【感染攻撃の流れ】
受信したzip形式の圧縮アーカイブをユーザーが解凍・展開する
 ↓
Windowsパソコン上でユーザーがjsファイルをダブルクリックして開く
 ↓
外部ネットワークにひっそり接続し実行ファイルをダウンロードして起動
 
実行ファイルはハッキング被害を受けてるっぽい海外の鳥小屋サイト(?)に置かれていて、この正体はネットバンキング不正送金被害に繋がる Ursnif/Gozi のようです。 (ウイルス定義名 TrojanSpy:Win32/Ursnif、TSPY_URSNIF)
 
【実行ファイル検体】
MD5 4d5abd974d213339274581a49e9c2780
www.virustotal.com/ja/file/5feeee23ecd310ed552b56c1992d5e7f6dbf4e656224a9f3073b83770768e994/analysis/1484610025/
 
同一の攻撃者は 去年2016年までは実行ファイル(拡張子 .exe)を踏ませる手口 を採用してたので、新たにスクリプトファイルを踏ませる手口に切り替えた?
  • 今までの手法
    メール添付 .zip → 中身 .exe(Bebloh/Shiotobウイルス) → Ursnifウイルス
     
  • 新たな手法へ?
    メール添付 .zip → 中身 .js(Nemucodウイルス) → Ursnifウイルス

被害防止できる無料ウイルス対策

メールを受信しただけ、あるいはメールソフトのプレビュー機能でメッセージが表示されただけでは別に何も起こらないので大丈夫です。
 
ゼッタイにやってはいけないことはただ1つ。
 
スクリプトファイル(拡張子 .js)をダブルクリックして開く
アウト
 
ただ、ヒューマンエラーが原因で ”うっかり” をやらかすのを前提に、この攻撃を効果的に防止してウイルス感染失敗となる無料ウイルス対策 あるのでどぞ!
 
イメージ 4
確認ダイアログを表示するよう設定すれば感染回避チャンスが
 
関連するブログ記事

この記事に

開くトラックバック(0)

ご注意OFFICEのプロダクトキーが不正コピー迷惑メールの正体 フィッシング詐欺で危険!
 
ソフトウェア開発会社マイクロソフトに成りすまし、オフィス製品 Office を不正コピーで使用してると警告する通知っぽく装った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれたみたいで。
件名 ご注意!!OFFICEのプロダクトキーが不正コピーされています。
差出人 support@microsoft-securityprotection-support.com

セキュリティ警告!!
お使いになっているオフィスソフトの授権が終了されてしまう可能性があります!!
日本マイクロソフトセキュリティチームはお使いのオフィスソフトのプロダクトキーが違法コピーをされた可能性があることを発見しています。
攻撃者はお使いのオフィスソフトのプロダクトキーを利用して他のオフィスソフトを起動しようと試みています。ご本人の操作なのかどうかが確定できないため、お手数ですが、直ちに検証作業をしてくださいますようお願いします。
検証作業をしていただけない場合、日本マイクロソフトはお使いのオフィスソフトのプロダクトキーの授権状態を終了させていただきますので、ご了承ください。
今すぐ認証
日本語がビミョ〜に変で怪しすぎだけど、真に受けてしまうと心理的に焦って慌ててしまう内容になってます。

誘導先は偽マイクロソフトのページ

メール本文中の{今すぐ認証}リンクをクリックすると、誘導先は Office の公式サイトっぽく外観デザインが偽装されてる日本語表記のページで、ブラウザのダイアログをポップアップ表示して強く警告します。
 
イメージ 3
 
イメージ 2
不正コピーを断罪
 
《ブラウザのダイアログ1》
セキュリティ警告!!
お使いになっているオフィスソフトの授権が終了されてしまう可能性があります!!
日本マイクロソフトセキュリティチームはお使いのオフィスソフトのプロダクトキーが違法コピーをされた可能性があることを発見しています。攻撃者はお使いのオフィスソフトのプロダクトキーを利用して他のオフィスソフトを起動しようと試みています。
ご本人の操作なのかどうかが確定できないため、お手数ですが、直ちに検証作業をしてくださいますようお願いします。
検証作業をしていただけない場合、日本マイクロソフトはお使いのオフィスソフトのプロダクトキーの授権状態を終了させていただきますので、ご了承ください。

《ブラウザのダイアログ2》
あなたのOfficeプロダクトキー及び製品包装を他人に漏えいしないでください。
直ちに下記の手順で検証を行って、安全で信頼できるpinコードを設定することであなたのOfficeを保護してください。
検証をしていただけない場合は、あなたのプロダクトキーが間もなく取り消されることになります。
Officeに新しいプロダクトキーを改めて購入しなければなりませんので、ご注意ください。

《ページの内容》
ご注意!!OFFICEのプロダクトキーが 不正コピーされています
お客様のOfficeのプロダクトキーが 不正コピーされていることが日本マイクロソフトに検出されました。正規版の利用者であれば、日本マイクロソフトの認証にご協力ください。でなければ24時間後に当プロダクトキーを無効にします
{今すぐ認証}

 
このページの{今すぐ認証}リンクをクリックすると、メールアドレスとパスワードの入力欄が用意された偽サインインページへ移動、Microsoftアカウント を盗みとることが目的のフィッシングサイトと分かります。
 
イメージ 1
偽サインインページ
 
マイクロソフトをかたるフィッシング (2017/01/12) フィッシング対策協議会
https://www.antiphishing.jp/news/alert/microsoft_20170112.html
 
マイクロソフトを装った不審メールの配信について | News Center Japan
http://news.microsoft.com/ja-jp/2017/01/12/

フィッシングサイトのURLアドレス

フィッシングサイトのURLアドレスは正規の microsoft.com でも何でもなく、サーバーの地理的位置はロシアです。
 
《フィッシングサイトのURLアドレス》
http://microsoft-securityprotection-support[.]com/
http://microsoft-securityprotection-support[.]com/verify.html
 
> www.virustotal.com/ja/ip-address/5.63.154.184/information/
 
ドメイン保有者のWHOIS情報を見てみると、(デタラメの可能性が高いけど)中国上海の外国人が取得してることになってます。
 
イメージ 5
 
Registrant Name: Lev Aleksandr
Registrant Organization: Private Person
Registrant Street: Shankhai-roud  1 d
Registrant City: Shankhai ploshchad
Registrant State/Province: ShankhShankhai
Registrant Postal Code: 120000
Registrant Country: CN
Registrant Email: rippertheworld@gmail.com

 
フィッシングサイトのHTMLソースを確認してみると、最後尾付近に中国で提供されてるアクセス解析サービスのコードが確認できます。
 
イメージ 4
 

この記事に

開くトラックバック(0)

詐欺広告 2017年年次訪問者調査Chrome/Internet Explorerユーザー!? 有料動画サイト登録
 
2015年、2016年と確認されていて、ダマされるユーザーさんまだ存在するのか疑問だけど、2017年も同じく 海外の有料動画配信サイト へ会員登録させることが目的の 詐欺広告ページ ご注意を!  <Googleやマイクロソフトは無関係!
 
イメージ 1
2017 年年次訪問者調査 Chrome ユーザー調査
 
イメージ 2
2017 年年次訪問者調査 Internet Explorer ユーザー調査
2017 年年次訪問者調査
2017 年年次訪問者調査 ([IPアドレスから判定した地域名])
{Chrome: ユーザー調査
{Internet Explorer: ユーザー調査
{ブラウザ: ユーザー調査
おめでとうございます!
あなたは、2017 年年次訪問者調査の参加者に特別に選ばれました!是非、Chrome についてのご意見をお聞かせください。感謝の印として、 HD Streaming Movies® を獲得するチャンスが与えられます!
http://blogs.yahoo.co.jp/fireflyframer/34442998.html
Copyright © 2017 - All Rights Reserved.
お問い合わせ - 諸条件 - プライバシー - Affiliates
この調査は広告です。弊社ではあなたのプライバシーを大切に考えています。このアンケートにより弊社があなたの個人情報を収集することはありません。弊社が定めるプライバシーポリシーおよび諸条件をお読みください。いずれのブラウザも本広告の作成元ではなく、またこれに参加したり、何らかの形でこれを審査または承認したという事実もございません。本ウェブサイトは、取り上げた製品が購入された場合に報酬を受け取ります。製品毎に重要な諸条件が定められています。製品を注文する前に、全ての製品の諸条件をお読みください。
他愛もないアンケート4つに回答すると、全員が「HD Streaming Movies」が貰えるとなります。 <「本日限り」「在庫数1」は大ウソ
 
イメージ 7
MEGAFLIX 調査を完了していただきありがとうございました!
2017 年年次訪問者調査
調査を完了していただきありがとうございました! 参加のお礼に、以下の商品をご用意いたしております: [曜日], [月] [日], 2017.
以下のいずれかをお選びください (本日限り):
MEGAFLIX
HD Streaming Movies
通常価格: \ 7900
本日限り: \ 0.00
ここをクリック

「HD Streaming Movies [ここをクリック]」部分をクリックすると、上のアンケートとは無関係な有料動画配信サイトに会員登録するためのページへ移動します。<アンケートページとURLが違う別サイトに移動してる
 
イメージ 4
 
イメージ 3
 
イメージ 5
 
【詐欺広告から会員登録させる流れ】
ネットサーフィン中に詐欺広告ページへ強制転送される
 ↓
ブラウザ開発元が主催するアンケート調査と誤認させて「
おめでとうございます!」で商品が貰えて幸運が降ってきたと興奮させる 《当選詐欺》
 ↓
海外の有料動画配信サイトの会員登録ページ 
 
「有料サイトの会員」になるページにも関わらず、ダマされるユーザーさんはアンケートに答えて商品が貰えて、そのために必要な個人情報やクレジットカード情報だと勝手に思い込んで躊躇なく送信するとー。
 
iPhone人気に便乗していると考えられる手口にご注意を 2015年9月の呼びかけ:IPA 情報処理推進機構
https://www.ipa.go.jp/security/txt/2015/09outline.html
 
繰り返されるネット詐欺事例、アンケートからフィッシングへ誘導 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/13731

アンケートの回答はどこにも送信されてない

ちなみに、アンケートに答えた直後に回答データを送信してる風のシーンが表示されるけど、HTMLソースを確認してみると実は回答データを送信する処理がいっさい存在しません。 <回答して先に進めていく部分に危険性はない
 
イメージ 6
CSSスタイルシートを無効にすると1枚ページになる
 
もっともらしく見えるアンケートは実体のないデタラメな演出で、ユーザーを有料サイトへ変遷させる途中の踏み台にすぎません。
関連するブログ記事

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事