ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ
日本郵便追跡サービス迷惑メールでウイルス感染 js/pifファイルが危険

イメージ 5
Image いらすとや

7月20〜21日に 日本郵便追跡サービス を勝手に名乗り、ウイルス感染を企む日本語表記の 迷惑メール(スパムメール) が不特定多数に配信されました。 <文章は 郵便局や日本郵政を名乗るメールで以前から使い回されてる
件名 日本郵便追跡サービス [数字]
送信者 <〜@mail.com>
拝啓
配達員が注文番号( [数字] )の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。
従ってご注文の品はターミナルに返送されました。
ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。
このメールに添付されている委託運送状を印刷して、最寄りの郵便局 ? 日本郵政取り扱い郵便局までお問い合わせください。
敬具
EMS(国際スピード郵便) ? 郵便局 ? 日本郵政
手元では エクセルファイル(拡張子 .xls)を添付したウイルスメール が7月19日に着弾してるものの、このメールはなぜか1通も来ず。

添付ファイル以外にリンクで誘導も

攻撃手口は典型的なメールの 添付ファイル を確認するよう仕向ける以外に、添付ファイルがなく本文中の 誘導リンク を踏ませてファイルをダウンロードさせる手口も投入されてます。

《1》 メールの添付ファイル

添付されてる圧縮アーカイブを展開・解凍すると中から スクリプトファイル(拡張子 .js) が登場し、ユーザーの意思でダブルクリックさせて開かせる手口です。

.zip形式の圧縮アーカイブ 「日本郵便追跡サービス_[数字].zip
 ↓ 展開・解凍する
スクリプトファイル 「(文字化け)_[数字].js」「日本郵便追跡サービス_[数字].js
 ↓ ダブルクリックして開く
ネットバンキングウイルス Ursnif をダウンロードしてきて感染


《2》 メール本文中の誘導リンク

DOSファイル拡張子は .pif だけど Windows の仕様で表示されない

イメージ 3
「請求書_7192017.pif」「7192017.pif

この不正なファイルが、正規のファイル共有サイト上にアップされてたり、ハッキングされてる一般サイトにアップされてたり〜。

イメージ 1
ダウンロード数 190

イメージ 2
ロシア語圏ユーザーを狙うファイルも置かれてる

○ .zip形式の圧縮アーカイブ

ハッキングされてる一般サイトに圧縮アーカイブ 「label_trackservice.zip」 がアップされていてダウンロードさせる手口も?

これを展開・解凍すると、中身は スクリプトファイル(拡張子 .js) でした。

イメージ 4
「日本郵便追跡サービス .js

このスクリプトファイルを手元で開くと、wscript.exe を介して外部ネットワークに接続しWindows向け実行ファイルをダウンロードしてシレッと起動します。

イメージ 6

Ursnifウイルスに感染

感染ウイルスはネットバンキング不正送金に繋がる Ursnif(アースニフ) です。

【Ursnifウイルス】
MD5 73853a2a7cf7e090d8151416251a224a
www.virustotal.com/ja/file/eea74cc0e7c074a2259eb8ddfff2b0974bafb25cf62dfde9217072583a78b73b/analysis/1500597777/

MD5 40ed37fa9d3ce22e90646a7674b340ce
www.virustotal.com/ja/file/4d875ca450eb8647cbb6cdb9dc50675f32458814df69075351ce95da384bc5a5/analysis/1500506502/

MD5 b3ea30d81d8fdbb19adc238fb588a40a
www.virustotal.com/ja/file/4b8f54349de42ea41afa3d271f269bb8de99795cd74bb3a38602be748425c839/analysis/1500849818/

一連の攻撃はWindowsパソコンのみ感染ターゲットなので、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は影響なく大丈夫です。
関連するブログ記事

この記事に

開くトラックバック(0)

【詐欺】Appleフィッシングメール 添付PDFファイル開き1,400クリック!?

イメージ 1
Image いらすとや

フィッシング対策協議会によると Apple Inc. を勝手に名乗る 日本語フィッシングメール が確認されていて、添付ファイルとして PDF文書(拡張子 .pdf) が付いてる攻撃パターンだとか。

Apple をかたるフィッシング (2017/07/05) - フィッシング対策協議会
https://www.antiphishing.jp/news/alert/apple_20170705.html

これはスパムフィルタで偽メールを弾かれないよう意図してる?

【フィッシングメールの典型的な手口】
メール本文中のリンク
 ↓ クリック
フィッシングサイト

【フィッシングメールで添付ファイルの手口】
PDFファイル付きのメール
 ↓ PDFファイルを開く
PDF文書上のリンク
 ↓ クリック
フィッシングサイト

手元でも、悪意ある第三者が Apple のアカウントに不正アクセスしてゲームアプリを勝手に購入したと通知するセキュリティ警告を装うPDFファイルを受け取ってます。

イメージ 4
リンゴのロゴマーク+Apple Store で成りすまし
お客様各位、
Apple
IDを使用してiCloudのWebサイトにログインし、iTunes Store経由で支払いを行いまし
た:
アイテム:Space Qube
注文番号:HDH6YMK37
注文総額:$ 34.99
IPアドレス:190.153.81.31(31.81.153.190.net-uno.net)
場所:バレンシア、Carabobo、ベネズエラ
ブラウザ:Mozilla / 5.0(Macintosh; Intel Mac OS X 10_10_5)
プラットフォーム:MacOS
サポートチームが不正な人物を検出しました
あなたのアカウントはセキュリティ対策のためにロックされています。
パスワードを変更し、この購入をアップルIDアカウントページから取り消す必要があります:
[ここをクリック]
ありがとう
Appleサポート
日本語の文章がビミョ〜に変だけど、衝撃的な情報で驚かせて誘導リンクを ”うっかり” クリックさせようとしてます。

日本から1,400クリックも…

PDF文書上のリンクに短縮URLの Bit.ly が使われてるものがあるので、そのアクセス解析ページの1つを確認してみると、日本からのクリック数が 約1,400 となってました。

イメージ 3
bitly[.]com/cpplejp+

メールを無視できない上に不審なPDFファイルを開いてリンクまで踏むユーザーさんが結構たくさんいるようです。

誘導先はAppleフィッシングサイト

フィッシングサイトのURLにアクセスしてみると、次のように Apple の公式サイトっぽく見える日本語表記の偽サインインページでした。

イメージ 2
「Apple ID あなたのAppleアカウントを管理する」

イメージ 5
「Apple Store にサインイン」

フィッシングサイトを見抜く

ユーザーをダマすため、見た目のデザインは本家のデザインをそっくり流用して偽装できるので、ブラウザのアドレスバー に注目して apple.com ではないところでフィッシングサイトを見抜きます。

イメージ 6
違和感ありまくりのURL

このフィッシングサイトのURLは攻撃者が誤った方向に頑張りすぎていて、不自然な日本語の文字列とローマ字読み 「さぽーと-あかうんと.com」 のドメインで運用されてます。
関連するブログ記事

この記事に

開くトラックバック(0)

【詐欺】LINE二段階パスワード迷惑メール フィッシングサイト誘導に注意

イメージ 3
Image いらすとや

LINE Corporation が提供する通話アプリ LINE に成りすまして、もっともらしい2段階認証を設定するよう促す通知を装った日本語表記の 迷惑メール(スパムメール) が確認されてます。
件名 [LINE]二段階パスワードの設置
最近LINEアカウントの盗用が多発しており、ご不便をもたらして、申し訳ありません。あなたのアカウントが盗まれないよう、システムは2段階パスワードに更新いたしました。なるべく早く設定をお願いします。
こんにちは、このメールはLINEで自動送信されています。
以下のURLをクリックし、二級パスワード設定手続きにお進みください。
https://line.me/ja/anqun/gamess/authsupport/changePassword?verifier=〜
━━━━━
LINE
http://line.me
LINE Corporation
━━━━━
ところどころ日本語の表現がビミョーに不自然なので怪しいことに気づけなくもないです。 <途中で「こんにちは」、オチに「二級パスワード」

誘導先は偽ログインページ

誘導先は緑色の背景に LINE のロゴマークが掲げられ、メールアドレスとパスワードの入力欄が用意されてる 偽ログインページ でした。 <LINEアカウントを盗みとる目的のフィッシングサイト

イメージ 1
LINE偽ログインページ

ちなみに、この偽ログインページのソースコードを確認してみると日本では使われないお隣の大陸の漢字が見えます。

イメージ 2
コメントアウトに中国語

偽ログインページは LINE の正規のURLアドレス 「line.me」 ではありません。

【LINEフィッシングサイト URL例】
http://www.lineze[.]cn/

関連するブログ記事

この記事に

開くトラックバック(0)

2017.6支払依頼書/請求書ほか迷惑メール zipからjsファイルでウイルス感染

イメージ 3
Image いらすとや

もっともらしく金銭の支払い依頼書や請求書と称した日本語表記の怪しい 迷惑メール(スパムメール) が不特定多数に送信されてます。
2017.6支払依頼書
お疲れ様です。
請求書金額を入力した支払依頼書を添付いたしました。
ご確認後、印刷し原本のご郵送をお願い致します。
宜しくお願いたします。
請求書ほか
お世話になっております。
御請求書は、御社様宛に送付になります。
御確認の程、宜しくお願いいたします。
添付ファイルはzip形式の圧縮アーカイブなので手動で解凍・展開して中身を確認すると、次のような JavaScript ファイルJScript Script ファイル拡張子 .js) という形式のスクリプトファイルです。

イメージ 1
スクリプトファイル .js

【添付ファイル】
2017.6.21890455543.xls.js
2017-547805549-231.pdf.js
DOC0978043-2017.6.doc.js


ファイルの拡張子 を二重拡張子に仕立てて、ユーザーにエクセル、PDF文書、ワード文書が送られてきたと誤認させようとしてます。 <アイコン画像は巻き物の図案

このような形式のファイルをメールでやり取りすることは通常ありえません。

セキュリティトピックス

Q. スマホは大丈夫?

.jsファイルの動作対象は Windows パソコンだけなので、それ以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー はメールの受信自体はあっても動かないから大丈夫です。

Q. 何をしたらウイルス感染?

Windowsパソコン上で.jsファイルをポチポチっと ダブルクリック して開くと、外部ネットワークから Bebloh/Shiotob ウイルスがダウンロードされてきてシレッと起動します。 <ネットバンキング不正送金が目的

イメージ 2
wscript.exe を介してウイルス感染した瞬間

メールソフトのプレビュー機能でメールの内容が表示されたり、メールの本文を単に読んだだけでは別に何も起こりません。

Q. 無料でウイルス感染を防止する?

スクリプトファイルの関連付けや動作設定を変更しておいたり、ファイアウォールで wscript.exe の通信をブロックしておくと、うっかり.jsファイルを踏み抜いても100%確実に攻撃は失敗します。

関連ファイル

【スクリプトファイル】
■ MD5 0994c2e3dc7d38b9d6abba5d9755b819
www.virustotal.com/ja/file/60834d0c9d0602ef18cd65289b0b0fab05bbdb512acd3af0b273b6414883f60e/analysis/1498524960/

■ MD5 6d8f83550b5f4fea50378ec4bd01282b
www.virustotal.com/ja/file/59727ea201d94d471bdbb353b1281cca3c5bebf5305b140a3c017e52a37be702/analysis/1498510729/

■ MD5 0855b3cc00cf86a71d5b1ae31a57bdd2
www.virustotal.com/ja/file/64ae13592c5d8b289be81ebb50e054cef49b0bdf50ea92dd44ed611dd274150f/analysis/1498523440/

【実行ファイル】
■ MD5 1568dafae63eebce20987dd6205704e5
www.virustotal.com/ja/file/0931537889c35226d00ed26962ecacb140521394279eb2ade7e9d2afcf1a7272/analysis/1498516696/
関連するブログ記事

この記事に

開くトラックバック(0)

【詐欺】無料0.1BTC取得? 迷惑メールでビットコイン取引所フィッシングサイト誘導

イメージ 2
Image いらすとや

価格が高騰してると最近ニュースを見かける仮想通貨ビットコインの取引所を装った日本語表記の 迷惑メール(スパムメール) を受信しました。 <仮想通貨が題材の 偽メール を手元で受け取ったのは初めて
件名 【BTCBOX】無料0.1BTCを取得
本人認証
https://www.btcbox.co.jp/wap/index/login/
ビットコインで0.1BTC… 記事投稿時点だと日本円で3万円相当をタダでくれるというエサで誘導された先はこんな感じになってました。

イメージ 1
BTCBOX ログイン

メールアドレスとパスワードの入力欄が用意されてあって、仮にもアカウント情報を送信してしまうと預けてあるビットコインがサイバー犯罪者に盗まてしまうと。

【フィッシングサイトURL例】
http://www.btcbox.co.jp.login.bzzx[.]pw/
→ www.virustotal.com/ja/ip-address/116.212.127.230/information/

フィッシングサイトのURLにある.pwドメインは太平洋の島国パラオ、サーバーは香港で稼働してました。
関連するブログ記事

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事