ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、迷惑ソフト感染駆除削除、ネットの話題を書き出してるhttpsブログ (*´w`*)ノ
【詐欺】三井住友銀行パスワードの定期的な変更 迷惑メールはフィッシング危険

イメージ 6

三井住友銀行三井住友カード に成りすました日本語の 迷惑メール(スパムメール) が無差別に送信されてるので、実例を見てみましょう。

イメージ 1

イメージ 2
SMBC 三井住友銀行を騙る迷惑メール実例

件名 【三井住友銀行】パスワードの定期的な変更のお知らせ
送信者 SMBCグループ <account-update@smbc-card.com>
金融機関等を装う電子メールにご注意ください
いつも三井住友銀行をご利用いただきありがとうございます
本メールは、三井住友銀行をご契約いただき、連絡用電子メールアド
レスをご登録されているお客さまに配信しております。
インターネットバンキング用のIDとパスワードが悪意の第三者に盗みとられ、
ご利用口座から他人名義の口座に不正に送金される被害が金融機関において多発しています。
当行では、不正送金の被害を未然に防ぐため、ログインパスワードを定期的に変更してください
下記のURLからログインして、パスワードなどを変更してください
パスワードの変更
件名 電子メール通知
送信者 Sumitomo Mitsui Banking Corporation <direct@smbc.co.jp>

SMBC
パスワードを更新してください。
銀行口座情報を確認して、銀行口座のパスワードを更新してください。
24時間以内に更新されていないアカウントはすべて終了します
更新する
詐欺に関する苦情が多々あることをご理解ください.
Copyright © 2019 Sumitomo Mitsui Banking Corporation. All Rights Reserved

  • 表面的なメール送信者は?
    smbc.co.jp / smbc-card.com
    → 三井住友銀行や三井住友カードの正規ドメインで 偽装


誘導先が危険! SMBC 三井住友カードの偽サイト

さっそく誘導先へアクセスしてみると?

SMBC 三井住友カードの会員向けログインページにソックリな外観デザインで偽装されてる不正なページを確認できました。

イメージ 3

イメージ 4

イメージ 5

銀行情報でログインして新しいパスワードを選択してください
Vpassパスワードが長期間変更されていません。VpassのパスワードはVpassへのログインのみならず、インターネットショッピングの際に、ご本人を確認する重要な情報ですので、定期的なご変更をお願いいたします。

新しいパスワードへ変更するという名目で、次のアカウント情報を送信するよう要求するようになってました。

  • ユーザーID
  • パスワード

  • 電話番号

  • クレジットカードの番号
  • クレジットカードの有効期限
  • クレジットカードのセキュリティコード

こんなフィッシング詐欺の手口にダマサれてしまうと、クレジットカード不正使用といった深刻な金銭被害が想定されます。  

フィッシング詐欺の対策は? 2つの対処方法

《1》 三井住友カードフィッシングサイトの見分け方

メール攻撃者は三井住友銀行に成りすましてユーザーを欺きます。

たとえば、SMBC 三井住友のロゴマークの画像をパクって悪用したり、フィッシングサイトもパッと見で不自然と気づけないよう偽装を行ってます。

そこで、ブラウザのアドレスバーに表示されてる URL が公式サイト smbc-card.com や smbc.co.jp になってるか確認しましょう。

【三井住友カード フィッシング詐欺 URL例】
https://smbc-card.com.colourconmy[.]com/
http://smbc-card-member[.]jp/
http://smbc-card-updating[.]jp/smbc/
http://www.smbc-card-account[.]com/


《2》 三井住友銀行フィッシングメールの対処方法

この手のメールを受け取ると、どう対処しようか悩んだり、記載されてる内容からメールの真偽を見極めようと頑張るユーザーさんいない?

  • メールが本物か偽物か頑張って調べる

  • 本文に登場されてるリンクを踏もうか踏まないかで悩み込む

ハッキリ言って、こういうのは単なる 時間の無駄 です。

  1. フィッシング詐欺に巻き込まれる原因の1つがメールに構うから
    → メールなんぞサッサと 無視 して問題ない

  2. 次の行動は?
    公式サイト smbc-card.com にブラウザから直接アクセスするだけ

開くトラックバック(0)

圧縮ファイル解凍でウイルス感染ヤバい Lhaplus 1.74脆弱性の対処法は?

イメージ 1

シェアウェアな圧縮アーカイブソフト WinRAR に含まれているサードパーティー製ライブラリ UNACEV2.DLL に脆弱性 CVE-2018-20250 が存在するぞー、という ニュースが2019年2月から報じられてます

  • UNACEV2.DLL とはナニ?
    マイナーな圧縮アーカイブ ace 形式を展開する Windows プログラム
    ファイルのタイムスタンプ・作成日時 2005年8月 ← 古っ!
    de02c4d04088b69e64ecc30a3d9e22e5

  • UNACEV2.DLL の開発者はダレ?
    名義は欧州ドイツ ACE Compression Software
    公式サイト winace.com は数年前から繋がらず消息不明

WinRAR の開発元は、2019年2月28日リリースの バージョン5.70 で脆弱性を解消して対処済みなので、WinRAR 最新版をインストールすることで解決です。

イメージ 2
WinRAR の更新履歴で脆弱性の情報

> https://www.rarlab.com/download.htm


脆弱性を悪用したウイルス感染攻撃が!

この脆弱性を Windows パソコン上で悪用されると厄介です。

というのも、普段からやってる何の変哲もないファイル操作でもって、ウイルス感染攻撃を喰らってしまうからです。

圧縮ファイルを…
開く、展開・解凍する

そして、脆弱性を悪用するウイルス感染攻撃が実際に始まってる模様です。

  • 細工されてる不正な圧縮ファイルをメールに添付してバラ撒く

  • ネット上に細工されてる不正な圧縮ファイルを公開してダウンロードさせる

でも、ウチは WinRAR を使ってないから脆弱性なんて無関係だよ〜ん。

そうではなく、問題の UNACEV2.DLL を利用している複数の Windows ソフトウェアで脆弱性の影響があります。

  • Explzh
    対処済みの バージョン7.74 以降へ更新する

  • BandiZip
    対処済みの バージョン6.21 以降へ更新する

  • Lhaca、+Lhaca、7-Zip
    UNACEV2.DLL の使用歴なし = 脆弱性の影響なし

Lhaplus 1.74 で脆弱性の対処方法

たとえば、日本発のフリーソフト Lhaplus がまさにソレです。

ブログ記事投稿2019年3月時点の 「 Lhaplus Version 1.74 [ 2017/05/03 ] 」 では、問題が解決されていません。 <脆弱性の影響アリ

> http://www7a.biglobe.ne.jp/~schezo/

今すぐできる UNACEV2.DLL の脆弱性の対処方法は、次のどちらです。

  1. やむを得ず Lhaplus 1.74 を使えないようアンインストールする
    Windows 10Windows 7、Windows 8

    あるいは

  2. 問題の UNACEV2.DLL ファイルだけ手動で削除する
    簡単に解説↓

Windows エクスプローラー を起動 → Lhaplus 1.74 がインストールされてあるフォルダーへ移動 → UNACEV2.DLL ファイルだけゴミ箱へポイッ!

イメージ 3
脆弱性が確認されてる UNACEV2.DLL

【Lhaplus フォルダーの例】
C:\Program Files (x86)\Lhaplus
 または
C:\Program Files\Lhaplus


効果のない脆弱性の対処方法

他に、次のような脆弱性の対処方法が思いつきそう?

ただ、Lhaplus 1.74 が UNACEV2.DLL を読み込めない状態にしておくことが必須なので、これらは悪用する攻撃の回避効果がナイからご注意を。

  • Lhaplus 1.74 で ace ファイルの展開・解凍を避ける

  • Lhaplus 1.74 の設定画面で ace ファイルの関連付けをオフにする

Lhaplus 1.74 で不正な圧縮ファイルを開いたら?

手元の環境で、この脆弱性を悪用する攻撃を喰らってみました。

細工されてる不正な圧縮ファイルは、拡張子が .ace であるとは限らないので、ファイルの見た目で危険性を認識するのはムズいかと。

イメージ 4
不正な ace 圧縮ファイル

イメージ 5
ace 圧縮ファイル の先頭部分
意味深なファイルパスが見える?

↓ 展開・解凍 ↓

イメージ 6
無害なテキストファイル

いったい何か起こったのか?

まず、表面的には圧縮ファイルの中身であるテキストファイル(拡張子 .txt)が出現しただけでした。 <症状? 異変?

ところが、ユーザーに気づかれない裏側では、Windows のスタートアップフォルダーに ナゾの実行ファイル(拡張子 .exe) がコッソリ投下されていました。

イメージ 7
Windows のスタートアップフォルダー
投下された実行ファイル見っけ!

このフォルダーは、PC にログインするタイミングで自動的に実行されるアプリを配置できる場所なので、このコンピュータウイルスがその後に ”勝手に" 起動する寸法です。 <ユーザーが認識するのは困難

【細工された ace 圧縮アーカイブの検出名】
Avira EXP/CVE-2018-20250.Gen
BitDefender Exploit.ACE-PathTraversal.Gen
ESET ACE/Exploit.CVE-2018-20250.A ACE/Exploit.CVE-2018-20250.B
Kaspersky Exploit.Win32.CVE-2018-20250 HEUR:Exploit.Win32.CVE-2018-20250.gen
McAfee Exploit-WinAce CVE2018-20250
Microsoft Exploit:Win32/Winace Exploit:Win32/CVE-2018-20250 Exploit:Win32/CVE-2018-20250.gen Exploit:O97M/CVE-2018-20250
Sophos Mal/ExpACE-A Mal/DrodAce-A
Symantec Exp.CVE-2018-20250
Trend Micro Trojan.Win32.CVE201820250 Possible_SMCVE201820250

関連するブログ記事

開くトラックバック(0)

最終更新日 2019年2月27日

偽ブラウザUpdate Centerでウイルス感染 危険jsファイルと対策2つ

イメージ 2

英語表記だけど、ブラウザの更新作業 をしろってさ???

ネットサーフィン中、『 [使用中のブラウザ名] Update Center 』 というナゾの通知ウィンドウが表示される普通の一般サイトに出会ったらヤバい!

イメージ 1
日本 jpドメインのサイト改ざん実例

イメージ 3
背景が文字化けする不具合発生?
→ 問題が起こってるよう装うウソの演出

Internet Explorer Update Center / Chrome Update Center / Firefox Update Center / Edge Update Center / Safari Update Center / Opera Update Center / Android Update Center
A critical error has occurred due to the outdated version of the browser. Update your browser as soon as possible. FireflyFramer The following errors are also possible on outdated versions of the browser:
! Loss of personal and stored data
!Confidential information leak
! Browser errors
[Update]

このウェブサイトは、悪意のある第三者によって改ざんされていて、アクセスしてきたユーザーに対してデタラメな 偽通知ウィンドウ を表示する処理が仕掛けられてます。


対処方法は?

前にも 「フォント」 をダシにして似たような攻撃手口があったけど、正当なウェブサイト上でもっともらしい通知ウィンドウが表示されるから厄介です。

ブラウザのまともな忠告と勘違いして、騙されてしまうユーザーさんが出てくるやもしれん。 <「怪しいサイトにアクセスしない」 とかムリ


対処方法は 何もしないでブラウザのタブを閉じる など、とにかくページからサッサと離脱することで、簡単に解決します。

ブラウザ更新ファイル? ウイルス

試しに、偽の通知ウィンドウ上の [Update] ボタンをポチッと押すと?

何か zip 形式の圧縮アーカイブのダウンロードするよう促されました。

イメージ 4
ブラウザのダウンロード通知ポップアップ

バックヤードを覗いてみると、ハッキングされてると思われるベトナムのサーバーにアップされてるファイルが落ちてくる仕組み。

イメージ 5

手元に保存した圧縮ファイルを解凍・展開して中身を確認すると、Windows のスクリプトファイル .js が登場しました。

イメージ 7
不正なスクリプトファイル

【不正なスクリプトファイル】
update_2018_02.browser-components.zip
update_2019_02.browser-components.zip
 ↓ 解凍・展開

update_2018_02.browser-components.js
update_2018_02.browser-components (長いスペース) .js
update_2019_02.browser-components (長いスペース) .js

このファイルの正体は、ブラウザを更新 update するファイルでも何でもなく、Windows 上で動作する不正なスクリプトファイルです。

ファイルの拡張子の知識 があれば、自力で脅威を見抜けます。


.js ファイル開いたらウイルス感染

Windows 上で、スクリプトファイルをポチポチッとダブルクリックして開くと?

Windows のシステムにある wscript.exe を介して外部ネットワークに接続を試み、ナゾの実行ファイルをシレッとダンロードしてきて、勝手に起動しました。

イメージ 6
ウイルスが起動して感染した瞬間
下部の緑のファイル


Android スマホ向けに不正アプリ配信

Windows とは別に、Android OS を搭載したスマホやタブレットの端末も攻撃対象になってます。

この改ざん被害を喰らってる一般サイトにアクセスすると、同じ偽の警告ダイアログが表示されるところまでは同じで、その後は不正な Android アプリ(拡張子 .apk)をダウンロードになります。

ファイル名 → update_2019_02.apk
(アプリ名 Browser Update

感染を防ぐ無料ウイルス対策は?

Windows 7/8/10 向けウイルス対策

Windows 環境でスクリプトファイルをうっかり開こうが、100%確実に感染攻撃が失敗して、攻撃者を確実に出し抜ける 無料ウイルス対策 でバッチリ♪

イメージ 8

  1. スクリプトファイルの無害化
    無料ウイルス対策でjs/jse/wsf/vbs拡張子ファイルの無害化

  2. ファイアウォールの活用 (→ wscript.exe をブロックしておく)
    ファイアウォールの設定で悪用プログラムの外部通信ブロックする対策

【スクリプトファイル .js】
https://www.virustotal.com/ja/file/df9f0a2bca187ecd2a60d13da902e522ffb6b545a1607bb1c3dec985bdc8bfdb/analysis/1550300307/
https://www.virustotal.com/ja/file/fe19d2fda77a8a7ae0250d3487118dd7749116db522348358fa012010ddf9704/analysis/1550882151/
https://www.virustotal.com/ja/file/ba4d299c71cd1ea760637c118d2194e300df17eeb2d82f714212815fe14836d3/analysis/1550754171/

ESET JS/TrojanDownloader.Nemucod
Kaspersky HEUR:Trojan-Downloader.Script.Generic
Microsoft Trojan:Script/Foretype.A!ml Trojan:JS/Sonbokli.A!cl
Symantec JS.Downloader ISB.Downloader!gen60
Trend Micro Trojan.JS.NEMUCOD

【実行ファイル .exe Troldesh?】
https://www.virustotal.com/ja/file/bc4a310522daa79f2791201e53946fc64f048a113ab148bbe73aa6ba239470cc/analysis/1550896412/


Android 向けウイルス対策

不正な Android アプリは、配信元が公式の Google Play ストアではない、いわゆる 「野良アプリ」「勝手アプリ」 というヤツです。

イメージ 9
Browser Update と名乗らせたウイルス

Android OS のセキュリティ設定 → [提供元不明のアプリ] は導入しないオプションが有効になっていると、この Android アプリは端末にインストールできません。

先手を打っておくと、このウイルス感染は100%防げます。

【Android アプリ .apk】
d32c11ea9729fe282e97ea6005581fea
https://www.virustotal.com/ja/file/ef35826aff69ee51a20d531dc8e596097f2370c54460a919c64d5aa428d8215b/analysis/1551155661/

Dr.Web Android.BankBot.486.origin
ESET Android/Spy.Banker.AKY
Kaspersky HEUR:Trojan-Banker.AndroidOS.Agent.ep
Sophos Andr/DropApp-D

サイト改ざんリダイレクト icu tk index

ユーザーにウイルス感染を誘う攻撃ではなく、ブラウザをリダイレクトさせて、不審な海外サイト・広告サイトへ勝手に強制移動させるパターンも確認してます。

イメージ 10
正規サイトにリダイレクト処理が…

【強制リダイレクト先 URL】
http://[アルファベット小文字].tk/index/?[13ケタの数字]
http://[アルファベット小文字].icu/index/?[13ケタの数字]

正規の一般サイトに埋め込まれてる難読化された JavaScript コードにより、無料で取得できる 「.tk」 ドメイン経由で、怪しい URL(リダイレクター)へ飛ばす仕組みみたいで。

.tkは国別コードトップレベルドメイン(ccTLD)の一つで、オーストララシアにあるニュージーランドの領土であるトケラウに割り当てられている。トケラウは、興味を持つ個人には誰でも.tkドメインを無償で提供している。 (Wikipedia)

イメージ 11
Freenom .tk .ml .ga .cf .gq ドメイン

「.tk」 ドメインは、攻撃者が使い捨てのゴミドメインを大量に取得して、フィッシング詐欺、インチキ詐欺広告、ウイルス配信など、不正なスパム行為で悪用される事例が多いよねぇ。

関連するブログ記事

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事