ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、ネットの話題を書き出してるブログです (*´w`*)ノ
最終更新日: 2018/06/07

速報版カード利用お知らせ本人ご利用分迷惑メールはウイルス 対策2つで安心♪

イメージ 1
Image いらすとや

楽天カード株式会社 を騙って、カード利用の確認通知を装った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
件名 【速報版】カード利用のお知らせ(本人ご利用分)
送信者 楽天カード株式会社 <info@mail.rakuten-card.co.jp>

楽天カード
【速報版】カード利用お知らせメール
楽天e-NAVIログイン
Gmailアドレスをご登録の会員様へ
楽天カードを装った不審なメールにご注意ください
楽天銀行カード(JCB)を
ご利用いただき、誠にありがとうございます
お客様のご利用情報が到着いたしましたので、速報としてご案内させていただきます。
ご利用日 利用者 ご利用金額
{2018/05/30{2018/06/06{2018/06/07 本人 [数字],[数字] 円
ご利用店舗名やお支払い方法などの詳細な情報については、
後日配信させていただく、「カード利用お知らせメール」をご確認ください。
>>カード利用お知らせメールの概要についてさらに詳しく
■【速報版】カード利用お知らせメールの注意事項
・ 本サービスは、利用承認照会があった場合に通知されるサービスです。
クレジットカードのご利用を確定するものではなく、請求を確定するものではありません。
・ 【速報版】カード利用お知らせ」は利用承認照会がある度に配信いたしますので、同梱処理などによる金額修正によって、複数のメールが届く場合がございます。
・ 利用承認照会でカードの有効性が確認できなかった場合、ご利用金額が500円未満の場合、携帯電話料金や公共料金などの継続的なご利用については、通知はされません。
また、ご利用店舗によっては通知がされない、あるいは通知が遅れることがあります。
・ カードご利用後、ご利用がキャンセルとなった場合でも、キャンセル情報のメールは配信されません。
キャンセルに関してのよくあるご質問
・ 注意事項をご参照の上、ご利用覚えのない内容に関しては以下をご確認ください。
ご利用覚えのない請求に関して
関連するセキュリティサービス
さらに安心してご利用いただけるよう、様々なセキュリティサービスをご用意しております。こちらもぜひご活用ください。
第2パスワード 本人認証サービス
指紋認証ログイン 不正検知システム
>>その他セキュリティへの取り組みについてはこちら
楽天カードの取り組み
お客様より頂戴したご意見・ご要望の一つひとつを真摯に受け止め、さらなる安心と信頼をご提供できるよう、日々改善に取り組んでおります。
お客様の声を実現しました。
>>お客様の声への取り組みについてはこちらから
■カード利用お知らせメールの登録・変更は、楽天e-NAVIよりお手続きください
■このメールアドレスは配信専用です。お問い合わせの際はよくあるご質問をご確認ください
楽天e-NAVIのご利用開始手続き/ログイン
楽天e-NAVI メンテナンス情報
発行元楽天カード株式会社
https://www.rakuten-card.co.jp/
Rakuten Card Co., Ltd.
日本語の文章が完璧で怪しい変な表現もなく巧妙すぎる偽メールです。

まったく見に覚えのないウン万円(金額はランダム生成なのでバラバラ)の楽天銀行カード JCB の利用情報にビックリ仰天させて、メール本文中にある10ヶ所ほどのリンクをポチッと踏ませようと企んでます。

誘導先はファイルのダウンロード

リンクをクリックすると?

手元で確認すると、楽天カード株式会社のフィッシング詐欺サイトが表示されることはなく、ファイルをダウンロードするよう促されます。


ここから入手するのは Windows の スクリプトファイル拡張子 .js)を含んだzip形式の圧縮アーカイブ、あるいは生身の スクリプトファイル になります。

【リンクからダウンロードされるファイル】
もっと詳しくの情報はこちら.zip
└ もっと詳しくの情報はこちら.PDF.js (qlqfzrwvjxvjx.PDF.js
楽天銀行の重要な情報.zip
└ 楽天銀行の重要な情報.PDF.js (rxmawpxsvj.PDF.js
└ 楽天銀行重要な情報.pdf.js (rxmapxsvj.pdf.js

ネットバンキングウイルスに感染

このスクリプトファイル .js を Windows パソコン上で起動すると?

イメージ 3
Windows のプロセスの様子
PowerShell スクリプトの処理内容も

手元で確認すると、Windows PowerShell を介して外部ネットワークに接続を試み、ナゾの実行ファイルをシレッとダウンロードしてきて起動する処理になってました。

ナゾの実行ファイルの正体は、Ursnif(読み方 アースニフ)とか Dreambot(読み方 ドリームボット) と呼ばれてるコンピュータウイルスです。

コヤツは日本国内でのネットバンキングやクレジットカードの不正送金被害で暗躍してる脅威として以前から ニュースで名指し されてます。 

スマホはウイルス大丈夫?

スクリプトファイルや実行ファイルは Windows XP/Vista/7/8/10 だけが動作対応環境になってます。

つまり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境はいっさい影響なく大丈夫です。

ウイルス感染防ぐ無料ウイルス対策2つ

実在する楽天カードをテーマに偽装することで 『怪しいメールを開くな』 は必ずしも実現しずらいイヤらしい戦法を詐欺メール攻撃者は採用してます。

ユーザーがうっかりやらかす不安を解消するため、ウイルス感染手口に沿って 100%確実に攻撃が失敗する Windows 向けの無料ウイルス対策2つ を実施しておくと、どんだけヒューマンエラー(人為的ミス)が発生しようが安心です。

【1】 スクリプトファイルの無害化

攻撃者は Windows の スクリプトファイル(拡張子 .js/.jse/.vbs/.wsf) を開いてもらおうと狙ってます。

そこで、Windows の設定からファイルの関連付けをチャッチャと切り替えておくと、不正なスクリプトファイルを使ったウイルス感染手口は将来に渡って100%通用しません。

【2】 ファイアウォールの活用

攻撃者はマルウェアのダウンロード処理に Windows の正規プログラム powershell.exewscript.exe を悪用してます。

これはマイクロソフトに由来する正規プログラムであるが故に、セキュリティ製品のスリ抜けに都合がよいからで、悪用を見越して先手をキッチリ打ちましょう。

具体的に、ファイアウォールで外部通信をブロックしておくと、攻撃者の意図した通りに動作しなくなるので、感染攻撃の成功は100%不可能になります。

これは Windows パソコンに標準で実装されてる Windows ファイアウォールでも無料でチャッチャと実行できる対策です。

セキュリティトピックス

ファイルのウイルス検出名

【スクリプトファイル】
6b51df9190abc7ee93a21a6a555dbab3
www.virustotal.com/ja/file/5be32a4da0b9b483dd2d6c241bb7923a704438dac6c767dcf22c74f9aa448cd7/analysis/1527660137/

15f7f4c3c8060e5a2e26dd256e260ce9
www.virustotal.com/ja/file/fce247db612e14783f56d6a7d38d29bc2fface7033d977ce7245331c3bc31735/analysis/1528266323/

d7e30293bf5f134b27e89cdd294aa7a0
www.virustotal.com/ja/file/0f58f2393144d9663f1da3656e9133ce81d5283ab7c065ac9cdaade6282a3ead/analysis/1528351903/

e5519f909df33137fb958bdfdcbc9b6d
www.virustotal.com/ja/file/3cd5240e10e1e8a7d5ff5a74fcbdcd41945df1387346426826cd519cd23d729d/analysis/1528788354/

ESET JS/Kryptik
Kaspersky HEUR:Trojan.Script.Agent.gen HEUR:Trojan-Downloader.Script.Generic
Microsoft Trojan:Win32/Sonoko.A!ms Trojan:Script/Cloxer.A!cl
Symantec JS.Downloader ISB.Downloader!gen48 Trojan.Gen.NPE.2
Trend Micro JS_DLOADR.AUSUJB HEUR_JS.O.ELBP JS_POWLOAD.ELDSAUJH JS_POWLOAD.ELDSAUJI

【実行ファイル】
42be1e412cd47246c2e0a1c38d98af15
www.virustotal.com/ja/file/f17f4bffce4586b54cee1b9354f417b5413ed619dc1534431277477adc048d4a/analysis/1527659949/

55276a2f3b4ffc197fbe566577a7295d
www.virustotal.com/ja/file/601db298c5766c63831148ba376d219702694b51124e1247f8ec69ab8b9118cd/analysis/1528267294/

39e01e2f5a5fbfeca5abc01131e7e3a1
www.virustotal.com/ja/file/9f7b02032349637f0d8c962dab2f08f0e3269c295ac0de385c60274e89390d4b/analysis/1528351874/

3b66008f0a25542b86b8d8fd7be55d77
www.virustotal.com/ja/file/9d55e7d8c83c70ea8c1e7ae17ef56380422dd73ecca008e3c65db0b5cf4e2d1f/analysis/1528788755/

ESET Win32/GenKryptik Win32/Kryptik
Kaspersky Trojan.Win32.Yakes UDS:DangerousObject.Multi.Generic Trojan.Win32.Crypt
Microsoft Trojan:Win32/Tiggre!rfn Trojan:Win32/Bitrep
Symantec Trojan Horse Trojan.Gen.2
Trend Micro Mal_MiliCry-1c TSPY_URSNIF.TIBAICN TSPY_URSNIF.TIBAICR TSPY_URSNIF.TIBAICS

この記事に

開くトラックバック(0)

Airdrop申請内容確認くださいNOAHCOIN迷惑メールはウイルス 対策2つで感染防ぐ

イメージ 2
Image いらすとや

ノアコイン???

「NOAHCOIN」「NOAH COIN」 なるフィリピン発?の仮想通貨なのかよく分からんところから、登録申請の確認通知を装う日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ巻かれてます。
件名 Airdrop申請内容をご確認ください / =?UTF-8?B?QWlyZHJvcOeUs+iri+WGheWuueOCkuOBlOeiuuiqjeOBj+OBoOOBleOBhA==
送信者 NOAHCOIN <no-reply@noahcoin.co>
Airdropの申請を受け付けました。
[ERC20 Address] : 0x[英数字]
[NOAH] : 2591030
まだAirdropの申請は完了していません。
申請内容に問題がなければ、30分以内に以下のURLにアクセスして申請を完了してください。
https://noahcoin.co/activateAirdrop/?parameter=[英数字]
また、このメールに見覚えのない方は、以下のURLよりAirdropの申請を取り消してください。
他の誰かがログインしている可能性がある場合は、推測しにくいパスワードへご変更ください。
https://noahcoin.co/cancelAirdrop/?parameter=[英数字]
■問い合わせについて
下記メールアドレス、またはLINE@にて問い合わせを受け付けております。
Email: info@noah-coin.com
LINE@ ID: @noah_coin
https://line.me/R/ti/p/@noah_coin
ラインの友だち追加のID検索で
「@noah_coin」を追加してください。
-----
NOAH ARK TECHNOLOGIES LIMITED.
Email: info@noah-coin.com
HP: http://noahcoin.org/
-----
メールの件名が 「=?UTF-8? うんたら〜」 で文字化けしてるパターンもあり、本来は 「Airdrop申請内容をご確認ください」 と表示されるべきものでした。

いずれにしても、多くのユーザーさんにとってメールの内容にサッパリ身に覚えがないハズで、メール本文中に記載されてるリンクを衝動的にポチッとクリックしてしまうトラップです。

誘導先はファイルのダウンロード

リンクをクリックするとどうなる?

手元で確認すると、別に 「NOAHCOIN」 のフィッシングサイトが表示されることはなく、ファイルのダウンロードを促されます。

こうして手に入るのは Windows の スクリプトファイル拡張子 .js)を含むzip形式の圧縮アーカイブ、あるいは生身の スクリプトファイル そのものでした。


【リンクからダウンロードされるファイル】
もっと詳しくの情報はこちら.zip
└ もっと詳しくの情報はこちら.PDF.js (qlqfzrwvjxvjx.PDF.js

ネットバンキングウイルスに感染

このスクリプトファイル .js を Windows パソコン上で起動すると?

手元で確認すると、Windows PowerShell を介して外部ネットワークに接続を試み、ナゾの実行ファイルをシレッとダウンロードしてきて起動する処理になってました。

イメージ 1
Windowsのプロセスの様子と PowerShell スクリプト

ナゾの実行ファイルの正体は、Ursnif(読み方 アースニフ)とか Dreambot(読み方 ドリームボット) と呼ばれてるコンピュータウイルスです。

コヤツは日本国内でのネットバンキングやクレジットカードの不正送金被害で暗躍してる脅威として ニュースでも名指し されてます。 

スマホはウイルス大丈夫?

このウイルスメールで投入されてるスクリプトファイルや実行ファイルは Windows XP/Vista/7/8/10 が動作対応環境になります。

つまり、それ以外の Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんの環境はいっさい影響ありません。

ウイルス感染防ぐ無料ウイルス対策2つ

攻撃者は 『怪しいメールを開くな』 が実現しにくいイヤらしい戦法を採用してます。

ウイルス感染手口に沿って 100%確実に攻撃が失敗する Windows 向けの無料ウイルス対策2つ をやっておくとウイルスメール対策としても完璧なので安心です。

【1】 スクリプトファイルの無害化

攻撃者は Windows の スクリプトファイル(拡張子 .js/.jse/.vbs/.wsf) を開いてもらおうと狙ってます。

そこで、Windows の設定からファイルの関連付けをチャッチャと切り替えておくと、不正なスクリプトファイルを使ったウイルス感染手口は将来に渡って100%通用しません。

【2】 ファイアウォールの活用

攻撃者はマルウェアのダウンロード処理に Windows の正規プログラム powershell.exewscript.exe を悪用してます。

これはマイクロソフトに由来する正規プログラムであるが故に、セキュリティ製品のスリ抜けに都合がよいからで、悪用を見越して先手をキッチリ打ちましょう。

具体的に、ファイアウォールで外部通信をブロックしておくと、攻撃者の意図した通りに動作しなくなるので、感染攻撃の成功は100%不可能になります。

これは Windows パソコンに標準で実装されてる Windows ファイアウォールでも無料でチャッチャと実行できる対策です。

この記事に

開くトラックバック(0)

最終更新日: 2018/06/10

【詐欺】MyEtherWallet安全確認迷惑メールでフィッシングサイト誘導 イーサリアム盗難被害?

イメージ 2
Image いらすとや

安全確認?
スマート認証?
重要な変更の際には本人確認?

MyEtherWallet サポートセンター」 を名乗り、仮想通貨を保管するウォレット MyEtherWallet(マイ・イーサー・ウォレット) から仮想通貨を盗むのが目的と思われる不審な 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

イメージ 1
MyEtherWalletマイイーサーウォレット詐欺メール実例

件名 <<重要なお知らせ>> / 重要な変更の際には本人確認 / 【MyEtherWallet】「スマート認証」 / 【MyEtherWallet】ーー安全確認
送信者 MyEtherWallet <
support_jp@myetherwallet.com>

MyEtherWalletをご利用いた だきありがとうございますが 、アカウント管理チームは 最近MyEtherWalletアカウ ントの異常な操作を 検出しました。アカウ ントを安全に保ち、盗難な どのリスクを防ぐため、ア カウント管理チームによっ てアカウントが停止され ています。次の アドレスで アカウントのブロックを 解除することができます。
{秘密鍵の認証: https://www.myetherwallet.com/
{お財布ファイルの認証: https://www.myetherwallet.com/
今後ともよろしくお願い致します。
MyEtherWallet サポートセンター
件名 重要な変更の際には本人確認 / <<重要なお知らせ>> / 【MyEtherWallet】ーー安全確認
送信者 MyEtherWallet <support_jp@myetherwallet.com>

【MyEtherWallet】ログイン確認メール
お客様へ
お使いのMyEtherWalletアカウントで不審なアクティビティが検出されました。安全のため、また強制に凍結されないように、MyEtherWalletに登録してアカウントをチャックしてください。
秘密鍵の認証: https://www.myetherwallet.com/
MyEtherWallet サポートセンター
この日本語表記の詐欺メールは手元では5月16日に初めて着弾したけど、先週8日らへんから無差別に送信されてるようです。

ほぼ同じタイミングで MyEtherWallet を騙った英語表記のフィッシング詐欺メールが確認されてるようで、攻撃者は同一の可能性が高い?

Phishing emails for fake MyEtherWallet login page - InfoSec Handlers Diary Blog
https://isc.sans.edu/diary/23655

誘導先は MyEtherWallet 偽装ページ

詐欺メールの本文中にある URL をポチッと踏むと?

誘導先は MyEtherWallet の正規 URLである myetherwallet.com にビミョ〜に似せた不正なドメインになってます。

イメージ 3

イメージ 4
危険! MyEtherWallet フィッシングサイト

【MyEtherWalletフィッシングサイトURL例】
http://www.myetherwallett[.]org/
https://www.myetherwalletc[.]org/
https://www.myetherwalleth[.]org/
http://www.myetherwalletk[.]com/
http://www.myetherwalletw[.]org/
http://www.myetherwalletz[.]org/
http://www.myetherwalleti[.]org/
http://www.myetherwalletr[.]org/
http://www.myetherwallee[.]org/
http://www.myetherwalletl[.]org/
http://www.myetherwallea[.]org/
http://www.myetherwalleu[.]org/
http://www.myetherwalles[.]org/
http://www.myetherwallek[.]org/


この詐欺メールで MyEtherWallet なるサイトを知ったのでどうなるのか分からんけど、ユーザーが仮想通貨イーサリアムに関連する情報やファイルを送信することで、自分のウォレットから仮想通貨が盗まれる被害となるんでしょう。

詐欺メール攻撃者は中国由来?

MyEtherWallet に偽装したページは、大部分が日本語や英語で記載されてるけど、なぜか日本語と中国語を組み合わせた漢字 「日本语」 が不自然に登場します。

イメージ 5
中国語で表現するなら正しくは 「日语」

また、51.la ドメインを読み込む処理がページに存在し、これは中国語で提供されてる無料アクセス解析サービスのコードによるものです。

イメージ 6
アクセス解析サービスのドメイン
関連するブログ記事

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事