ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、迷惑ソフト感染駆除削除、ネットの話題を書き出してるhttpsブログ (*´w`*)ノ
最終更新日 2019年2月27日

偽ブラウザUpdate Centerでウイルス感染 危険jsファイルと対策2つ

イメージ 2

英語表記だけど、ブラウザの更新作業 をしろってさ???

ネットサーフィン中、『 [使用中のブラウザ名] Update Center 』 というナゾの通知ウィンドウが表示される普通の一般サイトに出会ったらヤバい!

イメージ 1
日本 jpドメインのサイト改ざん実例

イメージ 3
背景が文字化けする不具合発生?
→ 問題が起こってるよう装うウソの演出

Internet Explorer Update Center / Chrome Update Center / Firefox Update Center / Edge Update Center / Safari Update Center / Opera Update Center / Android Update Center
A critical error has occurred due to the outdated version of the browser. Update your browser as soon as possible. FireflyFramer The following errors are also possible on outdated versions of the browser:
! Loss of personal and stored data
!Confidential information leak
! Browser errors
[Update]

このウェブサイトは、悪意のある第三者によって改ざんされていて、アクセスしてきたユーザーに対してデタラメな 偽通知ウィンドウ を表示する処理が仕掛けられてます。


対処方法は?

前にも 「フォント」 をダシにして似たような攻撃手口があったけど、正当なウェブサイト上でもっともらしい通知ウィンドウが表示されるから厄介です。

ブラウザのまともな忠告と勘違いして、騙されてしまうユーザーさんが出てくるやもしれん。 <「怪しいサイトにアクセスしない」 とかムリ


対処方法は 何もしないでブラウザのタブを閉じる など、とにかくページからサッサと離脱することで、簡単に解決します。

ブラウザ更新ファイル? ウイルス

試しに、偽の通知ウィンドウ上の [Update] ボタンをポチッと押すと?

何か zip 形式の圧縮アーカイブのダウンロードするよう促されました。

イメージ 4
ブラウザのダウンロード通知ポップアップ

バックヤードを覗いてみると、ハッキングされてると思われるベトナムのサーバーにアップされてるファイルが落ちてくる仕組み。

イメージ 5

手元に保存した圧縮ファイルを解凍・展開して中身を確認すると、Windows のスクリプトファイル .js が登場しました。

イメージ 7
不正なスクリプトファイル

【不正なスクリプトファイル】
update_2018_02.browser-components.zip
update_2019_02.browser-components.zip
 ↓ 解凍・展開

update_2018_02.browser-components.js
update_2018_02.browser-components (長いスペース) .js
update_2019_02.browser-components (長いスペース) .js

このファイルの正体は、ブラウザを更新 update するファイルでも何でもなく、Windows 上で動作する不正なスクリプトファイルです。

ファイルの拡張子の知識 があれば、自力で脅威を見抜けます。


.js ファイル開いたらウイルス感染

Windows 上で、スクリプトファイルをポチポチッとダブルクリックして開くと?

Windows のシステムにある wscript.exe を介して外部ネットワークに接続を試み、ナゾの実行ファイルをシレッとダンロードしてきて、勝手に起動しました。

イメージ 6
ウイルスが起動して感染した瞬間
下部の緑のファイル


Android スマホ向けに不正アプリ配信

Windows とは別に、Android OS を搭載したスマホやタブレットの端末も攻撃対象になってます。

この改ざん被害を喰らってる一般サイトにアクセスすると、同じ偽の警告ダイアログが表示されるところまでは同じで、その後は不正な Android アプリ(拡張子 .apk)をダウンロードになります。

ファイル名 → update_2019_02.apk
(アプリ名 Browser Update

感染を防ぐ無料ウイルス対策は?

Windows 7/8/10 向けウイルス対策

Windows 環境でスクリプトファイルをうっかり開こうが、100%確実に感染攻撃が失敗して、攻撃者を確実に出し抜ける 無料ウイルス対策 でバッチリ♪

イメージ 8

  1. スクリプトファイルの無害化
    無料ウイルス対策でjs/jse/wsf/vbs拡張子ファイルの無害化

  2. ファイアウォールの活用 (→ wscript.exe をブロックしておく)
    ファイアウォールの設定で悪用プログラムの外部通信ブロックする対策

【スクリプトファイル .js】
https://www.virustotal.com/ja/file/df9f0a2bca187ecd2a60d13da902e522ffb6b545a1607bb1c3dec985bdc8bfdb/analysis/1550300307/
https://www.virustotal.com/ja/file/fe19d2fda77a8a7ae0250d3487118dd7749116db522348358fa012010ddf9704/analysis/1550882151/
https://www.virustotal.com/ja/file/ba4d299c71cd1ea760637c118d2194e300df17eeb2d82f714212815fe14836d3/analysis/1550754171/

ESET JS/TrojanDownloader.Nemucod
Kaspersky HEUR:Trojan-Downloader.Script.Generic
Microsoft Trojan:Script/Foretype.A!ml Trojan:JS/Sonbokli.A!cl
Symantec JS.Downloader ISB.Downloader!gen60
Trend Micro Trojan.JS.NEMUCOD

【実行ファイル .exe Troldesh?】
https://www.virustotal.com/ja/file/bc4a310522daa79f2791201e53946fc64f048a113ab148bbe73aa6ba239470cc/analysis/1550896412/


Android 向けウイルス対策

不正な Android アプリは、配信元が公式の Google Play ストアではない、いわゆる 「野良アプリ」「勝手アプリ」 というヤツです。

イメージ 9
Browser Update と名乗らせたウイルス

Android OS のセキュリティ設定 → [提供元不明のアプリ] は導入しないオプションが有効になっていると、この Android アプリは端末にインストールできません。

先手を打っておくと、このウイルス感染は100%防げます。

【Android アプリ .apk】
d32c11ea9729fe282e97ea6005581fea
https://www.virustotal.com/ja/file/ef35826aff69ee51a20d531dc8e596097f2370c54460a919c64d5aa428d8215b/analysis/1551155661/

Dr.Web Android.BankBot.486.origin
ESET Android/Spy.Banker.AKY
Kaspersky HEUR:Trojan-Banker.AndroidOS.Agent.ep
Sophos Andr/DropApp-D

サイト改ざん 「.tk/index/?数字」

ウイルス感染を誘う攻撃ではなく、ブラウザをリダイレクトさせて不審な海外サイト・広告サイトへ勝手に強制移動させるパターンも確認してます。

イメージ 10

http://[アルファベット小文字].tk/index/?[13ケタの数字]

サイト改ざんで正規の一般サイトに埋め込まれてる難読化された JavaScript コードにより、無料で取得できる 「.tk」 ドメインの怪しい URL(リダイレクター)へ飛ばす仕組みです。

関連するブログ記事

この記事に

開くトラックバック(0)

最終更新日 2018年12月9日

【詐欺】顧客満足度調査Amazon¥10000迷惑メールの正体 フィッシングサイト誘導

イメージ 2

1万円当たったwww

手元にやって来る Amazon アカウントに関するセキュリティ通知を装う迷惑メール とは雰囲気が異なる 迷惑メール(スパムメール) を受信しました。

イメージ 1
あなたは選ばれました!
Amazon 顧客満足度調査

イメージ 6
Amazon.co.jp - 顧客満足度調査
あなたのボーナス \10000

件名 顧客満足度調査 / Amazon.co.jp - 顧客満足度調査 / あなたは選ばれました! / Amazon.co.jp - 顧客満足度調査 !
送信者 Amazon.co.jp <myinfo@amazon.com> <myinfo@amazon.co.jp> <noreply@amazon.com> <store-news@amazon.co.jp> <store-news@amazon.com>
<office01@amazon.com> <japan@amazon.com> <no-reply@amazon.co.jp> <web@amazon.co.jp> <store-news@amazon.co.jp>
Amazon{Amazon.co.jpプライム
おめでとう{祝賀{顧 客満足度調査{あなたが選択されました
調査を完了し、無料のボーナスを手に入れよう!
開始
あなたのボーナス: \10000{コンプリート・アンド・ウィン\10,000
期限: 2分{期限: 3分
お客様から収集される情報は、Amazon.co.jp でのお買い物をお客様に合ったよりよいものにし、Amazon.com
© 1996-2018, Amazon.com, Inc
件名 Amazon.co.jp - 顧客満足度調査
送信者 Amazon.co.jp <noreply@amazon.co.jp>

Amazon
Research Panel
簡単なアンケートにお答えいただくだけで、ポイントが貯まります。貯めたポイントは、現金や電子マネーなどに交換できます{調査を完了し、無料のボーナスを手に入れよう!
所要時間:3〜5分程度
獲得ポイント:\ 10.0000{獲得ポイント:\ 10.000
満了: 14/09/2018{満了: 21/12/2018{満了: 10/01/2019{満了: 01/02/2019
開始
© 2019 All rights reserved. Amazonのロゴ、Amazon.co.jpおよび、Amazon.co.jpのロゴは  Inc. またはその関連会社の商 標です。

メール送信者を偽装、Amazon ロゴも悪用

Amazon 顧客満足度調査メールの特徴は?

  • 表面的に、メール送信者はネット通販サイト アマゾン(amazon.co.jp / amazon.com ドメイン) になってる
    → ユーザーを誤解させてダマす 偽装

  • アマゾンのロゴマークも本物の画像ファイルを悪用
    → パクってペタリと貼り付けるだけなのでタダ

アマゾンからの当選メールと思い込むユーザーさんが出現するはずで

無料でボーナス1万円くれる! ウェーイ♪

とか嬉しくなって気分が高揚し、メール本文中のリンクを勢いよくポチッとクリックさせてしまう魂胆です。

誘導先が危険! 偽 Amazon サイト

Amazon 顧客満足度調査メールの誘導先は?

外観デザインがうまく偽装されていて、Amazon.co.jp 内にアクセスしてると錯覚しかねない不正なページでした。 <ヤバッ

イメージ 3
母の日セール?
Amazon.co.jp に偽装した偽サイト

お客様から収集される情報は、Amazon.co.jp でのお買い物をお客様に合ったよりよいものにし、Amazon.com, Inc. および/またはその関連会社(以下総称して「Amazon」といいます)が提供する店舗、プラットフォーム、情報検索等のサービスをお客様にご利用いただくために役立てられます。無題な濃いログ
■通常、どのくらいの頻度で当サービスをを利用していますか?
■他社の提供する同様のサービスと比べた場合、当サービスの質はどの程度優れていると感じますか?
■当サービスを他の方にご紹介いただける可能性はどのくらいありますか?
■当社の提供する別のサービスにどの程度ご興味がありますか?

  • アドレスバーに表示されてる URL は、当然のごとくアマゾンの正当な amazon.co.jpamazon.com でも何でもない!

  • Amazon 顧客満足度調査ってことなので、何かもっともらしいアンケート4つが用意されてる


報酬1万円エサにクレカ情報を要求

そのアンケートの下部には、「あなたの報酬: Amazon \10,000」 として クレジットカード情報の入力フォーム が用意されてありました。

イメージ 4
報酬 ¥10,000 振り込んでくれる?

アンケートに答える勢いのママ、ホイホイ入力させちゃおう戦法です。

テキト〜にデタラメなクレジットカード情報を送信してみると、次の場面はパスワードを要求してきました。

イメージ 5
本人認証を行います。
MASTERCARD認証サービスのパスワードをご入力ください。 

  • クレジットカード番号

  • クレジットカードの有効期限

  • クレジットカードのセキュリティコード

  • 本人認証のパスワード

メールや偽サイトはアマゾンがテーマになってるものの、Amazon.co.jp そのもののユーザー名やパスワードを送信させる場面は特にありませんでした。

つまり、クレジットカード情報の送信 → 最終的に カード不正利用を狙ったフィッシング詐欺 と思われます。 <注意!
関連するブログ記事

この記事に

開くトラックバック(0)

【詐欺】ヤマダ電機閉店大放出キャンペーンiPhone100円の対処法1つ 当選はウソ!

イメージ 1

おめでとうございます !?
ヤッター!


ロゴマークも悪用して実在する企業を騙り、「Apple iPhone X」「Samsung Galaxy」「Apple iPad」 に当選したと称賛しまくって、気分を高揚させた上で海外のナゾのウェブサービスに会員登録させる詐欺の手口にニューカマーが…。

イメージ 2
お客様は
ヤマダ電機閉店大放出キャンペーンに選ばれました
おめでとうございます!お客様はヤマダ電機閉店大放出キャンペーンに選ばれました! 03-6891-0122 弊社は、今年一杯で10店舗を閉鎖することになりましたが、オンラインビジネスにより専念することにしました。ヤマダ電機通販の便利さを皆様に証明するため、特別なオンラインキャンペーンを提供することにしました! 無題な濃いログ 以下のアンケートに回答していただいた方だけに、抽選で iPhone X, iPad, Samsung Galaxy S9 のいずれか1つをなんと100円で販売することにしました!賞品は全て閉鎖されるヤマダ電機店舗の品物なので、このキャンペーンはいつでも終了することがあります。ご興味をお持ちいただけましたら、是非4つの質問にお答えください!当選されたお客様は、直ちに発表されます。抽選で30名様限定! アンケートの4つの質問に答えて iPhoneX を100円でゲットしよう! 注意: 抽選は一人一回限りとなります。これはIPアドレスで確認されます。ヤマダ電機

イメージ 7
ヤマダ電機の閉店大放出キャンペーン
iPhone Xが100円で販売中!
iPhone Xが100円で買えちゃう!ヤマダ電機の閉店大放出キャンペーン livedoor NEWS ヤマダ電機の閉店大放出キャンペーンでiPhone Xが100円で販売中! 在庫がなくなる前に注文しましょう! 無題な濃いログ ヤマダ電機が702店舗のうち20店を閉鎖すると発表しました。昨年の14店舗の閉鎖以来、初めての大規模な店舗閉鎖に関する声明です。同社が運営する家電量販店は近年売り上げが減少しており、挽回策として消費者向けオンライン販売の戦略を練り直し、ヤマダ電機オンラインに軸足を移そうとしています。対象の店舗は11月から閉鎖を開始します。無題な濃いログ 地元のヤマダ電機が店をたたむと聞けば残念に思われる方もいるでしょう。しかし、閉鎖される店舗でそれぞれ開催されるファイナル・クリアランスセールに加えて、オンラインでの大放出キャンペーンも始まりました。対象となる商品は、閉鎖予定の店舗で過剰在庫となっているiPhone Xです! YAMADA iPhoneX 懸賞キャンペーン

イメージ 3
お客様は
ラオックス閉店大放出キャンペーンに選ばれました
おめでとうございます!お客様はラオックス閉店大放出キャンペーンに選ばれました! 03-6891-0122 おめでとうございます!お客様はアップルストア閉鎖大放出キャンペーンに選ばれました! iPhone X, iPad, アップルウォッチを100円で購入できるチャンス! 弊社は、今年一杯で10店舗を閉鎖することになりましたが、オンラインビジネスにより専念することにしました。ラオックス通販の便利さを皆様に証明するため、特別なオンラインキャンペーンを提供することにしました! 以下のアンケートに回答していただいた方だけに、抽選で iPhone X, iPad, Samsung Galaxy S9 のいずれか1つをなんと100円で販売することにしました! 賞品は全て閉鎖されるラオックス店舗の品物なので、このキャンペーンはいつでも終了することがあります。 ご興味をお持ちいただけましたら、是非4つの質問にお答えください!当選されたお客様は、直ちに発表されます。無題な濃いログ

まさか、出店ではなく 閉店大放出キャンペーン って…。 <自暴自棄かwww

ここは、完全デタラメなインチキ当選ページです。

当然ながら、Apple、ヤマダ電機、ラオックスはいっさい何も関係がなく、名前やロゴを勝手に使われてる悪用なので、対処方法として 無視 することが解決への近道です。

弊社を騙る詐欺サイトにご注意下さい。 - ヤマダ電機
http://www.yamada-denki.jp/notice.html

当社を装って「iPhone などが100円で当たる」などと騙るフィッシングサイトにご注意下さい! - ラオックス株式会社
http://www.laox.co.jp/news/%e5%bd%93%e7%a4%be%e3%82%92%e8%a3%85%e3%81%a3%e3%81%a6%e3%80%8ciphone-%e3%81%aa%e3%81%a9%e3%81%8c100%e5%86%86%e3%81%a7%e5%bd%93%e3%81%9f%e3%82%8b%e3%80%8d%e3%81%aa%e3%81%a9%e3%81%a8%e9%a8%99%e3%82%8b/

つまり、ブラウザのタブを閉じるなり、とにかく偽の当選ページからサッサと離脱しましょう。 <別にウイルス感染とかではないし


偽ページの広告ブロック対策は?

この手の怪しい偽ページが表示される原因の1つが、海外の広告配信ネットワークに垂れ流されてるリダイレクト型広告コンテンツを介して、ユーザーの意に反する形で強制的に転送されるパターンです。

何も怪しいサイトを閲覧してる時だけの現象ではなく、普通の広告コンテンツを設置してる一般サイトでも起こるから厄介でして。

ってことで、ブラウザの機能でチャッチャとブロック対策する無料の方法なら…。

  • Google Chrome → uBlock Origin または Adblock Plus
    Mozilla Firefox

  • Microsfot Edge → uBlock Origin

  • IE11 → 追跡防止機能



アンケートに回答すると全員 iPhone 当選

仮に、先へズンズンズン進めると?

用意されてる他愛のないアンケート4つに回答すると、とにかく全員が ”賞品の当選” という超ハッピーな展開に必ずなります。 <iPhone が100円?

イメージ 5
地球上の全員が当選する

抽選で毎週20名様限定!  アンケートの4つの質問に答えて  iPhoneX を今すぐ当てよう! 無題な濃いログ 抽選で30名様限定! アンケートの4つの質問に答えて iPhoneX を100円でゲットしよう! 無題な濃いログ おめでとうございます!あなたの応募は抽選に当たりました! 以下の賞品の中から 15 分 0 秒以内に1つをお選びください。
  • 質問1: あなたは今年、ラオックス店舗へ訪れましたか?
    Q1: あなたは今年、ヤマダ電機店舗へ訪れましたか? Firefly
    はい、1-2回 はい、3-4回 はい、5回以上 いいえ

  • 質問2: あなたは今年、家電品を通販で購入しましたか?
    はい、1-2回 はい、3-4回 はい、5回以上 いいえ Firefly

  • 質問3: 現在、最も欲しい家電品は次のうちどちらでしょうか?
    冷蔵庫 液晶テレビ 洗濯機 その他

  • 質問4: 家電品を買うとしたら、次のうちどちらへ行きますか?
    ラオックス ヤマダ電機 ビックカメラ その他・通販サイト

個人情報の送信を要求

そして、賞品 iPhone Xをゲットするためリンクをポチッとクリックすると、「おめでとうございます!」 ページとは異なる URL に移動します。

イメージ 4
iPhone Xをわずか100円で入手できるチャンス

  • 氏名、住所

  • メールアドレス

  • 電話番号

記事投稿時点だと、PlayMonger.com Katzumo.com BeatsHD.com LivePlayz.com SoundAm.com といった、海外の素性不明な音楽配信サービスやオンラインゲームの 会員登録ページ になってました。

通常、いきなり個人情報をホイホイ送信する奇異なユーザーさんいないはず。

ただ、「ヤマダ電機閉店大放出キャンペーン」「ラオックス閉店大放出キャンペーン」「iPhone Xをわずか100円」 を真に受けてるユーザーさんはヤバい!

iPhone X を手中に収めるため個人情報を送信しないといけない と ”勝手に” 思い込んで暴走し、バカ正直に応じてしまうトラップなのです。


へっ!? クレジットカードで決済!?

手元で、デタラメな情報を入力して先へ進めると?

今度は、クレジットカードの情報を要求して、なぜか決済のシーンになりました。

イメージ 6

  • クレジットカード番号

  • クレジットカードの有効期限

  • クレジットカードのセキュリティコード

「おめでとうございます! 閉店大放出キャンペーンで賞品の当選」 というお話だったはずか、最終的には 「有料会員の料金を支払う契約」 のお話へと、忽然とスリ変わっているがミソです。


国民生活センターも注意喚起

別に、Apple、ヤマダ電機、ラオックスに関連するアカウント情報(ユーザー名、パスワード)を要求してくる場面はいっさいありません。

つまり、フィッシング詐欺とは違う脅威であり、いわゆる 当選詐欺 の手口です。

iPhone当選に見せかけた有料サイト登録・課金に関する相談 - 国民生活センター

『パソコンやスマートフォン(以下、スマホ)を使っていたら、突然「iPhoneが当たった」などというポップアップ画面が表示され、興味を惹かれてカード情報を入力し申し込んだら、自動的にまったく別のサービスの申込みになり、海外の事業者から月額利用料を請求された、といった相談が多く寄せられています。 〜 速やかにクレジットカード会社に連絡し、請求の保留や調査とカード番号の変更等を依頼しましょう』


関連するブログ記事

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事