ここから本文です
無題な濃いログ
PCセキュリティ情報、ウイルスメール、マルウェア感染駆除削除、通販ショッピングを書き出してるブログです (*´w`*)ノ
NODご購入手続き完了NHKオンデマンド迷惑メールでウイルス感染 対策は?

イメージ 2
Image いらすとや

実在する企業や銀行を勝手に名乗り、完成度の高い日本語の文章で書かれてある怪しい 迷惑メール(スパムメール) が無差別に配信されてます。

件名が尻切れてるけど、NHK の動画配信サービス 「NHKオンデマンド室」 を騙り 「ドキュメント72時間」 の映像を購入した通知を装う偽メールがコチラ!
件名 【 NOD 】 ご購入手続き完了のお
送信者 <purchase@ml.nhk-ondemand.jp>

この度は、『NHKオンデマンド』をご利用頂き
誠にありがとうございました。
以下の通り、購入手続きが完了しました。
-----
[商品名] ドキュメント72時間
[お問い合せ番号] [数字]-[数字]
[ご購入年月日] 2017年11月23日
[ご利用額合計(税込み)] ご利用金額 108 円
[ご利用条件] 購入後 1日0時間まで
[お支払い方法] クレジットカード
※キャンペーンご利用の方は、ログイン後
マイコンテンツでご確認下さい。
-----
<ヘルプ・お問い合わせ>
本メールに記載されたご注文内容に誤り、ご質問等がありましたら、
お手数ですが、下記の問合せフォームより、必要事項をご記入の上
お問合せいただきますようお願い申し上げます。こちら
<コンテンツの利用等について>
ご購入いただいたコンテンツは以下のマイページよりご確認及びご利用頂けます。
https://www.nhk-ondemand.jp/user/index.html
本メールは、『NHKオンデマンド』で、商品をご購入のお客さまにお送りしています。
 今後とも、『NHKオンデマンド』をご愛顧いただきますよう
お願い申し上げます。
■────■
サービス運営:NHKオンデマンド室
 http://www.nhk-ondemand.jp/
*このメールの返信によるお問い合わせは受け付けておりません。
Copyright NHK ( Japan Broadcasting Corporation )
All rights reserved. 記事の無断転載を禁じます。
■────■

サッパリ見に覚えのない購入手続き完了で動揺させて、誘導リンク 「マイコンテンツでご確認下さい。」「こちら」 の2ヶ所をユーザーにポチッとクリックさせることが攻撃者の狙いです。 <添付ファイルはなし

感染手口はスクリプトファイル

仮にリンクをクリックすると、NHKオンデマンドを装う詐欺サイトが表示されることはなく、zip形式の圧縮アーカイブのダウンロードを促されます。

イメージ 1
「注文内容をチェック.zip」

このzip圧縮ファイルを解凍・展開して中身を確認すると、次のような Windows の スクリプトファイル(拡張子 .js) でした。

イメージ 4
「料金明細をチェック.DOC.js
(jtwqgbbdj.DOC.js

【不正なスクリプトファイル】
MD5 92ee831243428094a092d7ec5c5e0116
www.virustotal.com/ja/file/5ab9095cf3596b2c6b8e1a6f9494cfa73db75d37fac7b95687550ebb27cab243/analysis/1511423125/


仮にも、この.jsファイルをWindowsパソコン上でポチポチッとダブルクリックしてしまうと、外部ネットワークより Ursnifウイルス をダウンロードしてきて感染させる処理の発動です。 <ネットバンキング不正送金被害で暗躍するマルウェア!

イメージ 3
ウイルス感染直後のプロセスの様子

なお、フィッシングメールではないので Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境は影響なく大丈夫♪

強力なウイルス対策で感染防ぐ

「怪しいファイルを開くな」 とは言うものの、それができないユーザーさんも一定数いるはずで、どんだけヒューマンエラーを起こしても100%確実に感染しない Windows 向けウイルス対策がコチラ〜。

【1】

メール攻撃者は スクリプトファイル(拡張子 .js) を開いてもらうのを狙ってるので、あらかじめファイルの関連付けを変更しておくと不正なスクリプトファイルを使った攻撃がいっさい通用しません。 <Windows の設定を変えるだけ

【2】

メール攻撃者はマルウェアのダウンロード処理に正規プログラム wscript.exe を悪用してるので、あらかじめファイアウォールで通信ブロックに登録しておくと安心です。 <標準実装されてる Windows ファイアウォールでも対策できる

この記事に

開くトラックバック(0)

VJAギフトカードご注文ありがとう迷惑メールでウイルス感染 手口と対策は?

イメージ 3
Image いらすとや

実在する企業を騙り完成度の高い日本語の文章で書かれた怪しい 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。

「VJA ギフトカードインターネットショップ」「三井住友カード株式会社」 を名乗って、商品券 「三井住友カードVJAギフトカード」 を大量300枚も注文した通知を装う偽メールがコチラ!
件名 ご注文ありがとうございました
送信者 VJA ギフトカードインターネットショップ <scgiftcard@smbc-card.com>
添付ファイル VJA ギフトカードインターネットショップ.doc

この度はご注文頂きまして、誠にありがとうございました。
ご注文頂きました内容は以下の通りです。
●●●注文内容●●●
ご注文番号:180000281405
 -----
商品名:VJAギフトカード自由入力
(セット内容)
 ・VJAギフトカード1,000円券×300枚
セット数:1
 *****
お支払い合計金額:300,540円
(税・送料込み)
{ご請求書を添付ファイルにてお送りさせて頂きますので
もっと詳しくの情報はこちら
※クレジットカード決済のお客様へ:本メール送信後、
   別途所定の審査を行いますので、ご了承願います。
ご注文頂きました商品のお届けまで1週間程度のお時間を頂いて
 おりますので、今しばらくお待ち頂けますようお願い申し上げます。
 尚、このメールはご注文時入力されましたメールアドレスへ自動的に
送信しております。
ご不明な点・ご質問等につきましては、下記宛てにご連絡をお願いいたします。
  三井住友カード株式会社
このメールに書かれた注文番号などの情報は、お問合せの際に必要と
 なりますので保存しておいてください。
またのご利用をお待ちしております。
見に覚えのない高額の請求にビックリ仰天し、具体的な情報を得たいがため添付ファイルの ワード文書ファイル(拡張子 .doc) へ手が伸びてしまう仕掛けです。

<追記 始め>

メールにワード文書は添付されておらず、本文中のリンク 「もっと詳しくの情報はこちら」 をクリックさせる攻撃パターンも確認されてます。 (ウイルス対策はコチラ

イメージ 5

メール本文中のリンク
 ↓ クリックしてダウンロード
「VJAギフトカードインターネットショップ.zip」
 ↓ 圧縮アーカイブを展開・解凍
「VJAギフトカードインターネットショップ.DOC.js」「VJAivifijyzzindirndx.DOC.js
 ↓ スクリプトファイル をダブルクリックして開く
ウイルス感染

<追記 終わり>

脆弱性を突くワード文書ファイル

ワード文書ファイルは、今月2017年11月に修正されたばかり Microsoft Office 脆弱性 CVE-2017-11882 を悪用するブツみたい。 <マクロウイルスではない

CVE-2017-11882 | Microsoft Office のメモリ破損の脆弱性 - Microsoft

「Microsoft Office」に17年前からの脆弱性が発覚、月例パッチで修正 - CNET Japan
https://japan.cnet.com/article/35110497/

動作確認してないのでどうなるのか分からんけど、リリース済みのセキュリティ更新パッチが適用されてないと、Microsoft Word でdocファイルを開いただけで攻撃処理が走ってしまうと思われます。

イメージ 1
ワード文書ファイルのバイナリ
Microsoft Equation(数式エディター)、接続URLの文字列

イメージ 2
Pastebin.com にアップされてるファイル
アクセスカウンターの数値は…

処理内容は、HTMLアプリケーション を介してテキスト貼り付けサイト Pastebin.com へ接続してスクリプトを実行し、Windows PowerShell を介して Ursnifウイルス をダウンロードしてきて感染させます。

【ワード文書ファイル】
4577785988b87a1c8b96249484a537e4
www.virustotal.com/ja/file/7bb52f08b24ad4122cdbd6d18869278b92be14ca07298fd8311d7c2e6b89f968/analysis/1511385516/

【Ursnifウイルス】
3b7ceafc9d0d93923bfcaaca2313eea0
www.virustotal.com/ja/file/e1143efc15b55bd6a622b24b6712e40fb63a31e7cff920ab0859aa6b57be9ad3/analysis/1511395517/

感染を防ぐウイルス対策

ターゲットになる Windows 向けウイルス対策として、Microsoft Office を最新版にアップデートし脆弱性を解消しておくことです。

イメージ 4
他の手段として数式エディターを無効化する方法も

Office の更新プログラムをインストールする - Office サポート
https://support.office.com/ja-jp/article/2ab296f3-7f03-43a2-8e50-46de917611c5

JVNVU#90967793: Microsoft Office 数式エディタにスタックベースのバッファオーバーフローの脆弱性
http://jvn.jp/vu/JVNVU90967793/

あと、マルウェアのダウンロード処理に HTMLアプリケーション(mshta.exe) と Windows PowerShell(powershell.exe) の悪用があるので、あらかじめファイアウォールで通信ブロックしておくと攻撃は失敗に終わり安心です。 <Windows ファイアウォールでも無料で対策可能

この記事に

開くトラックバック(0)

ジャパントラストお振込口座変更ご連絡メールでウイルス感染 手口と対策は?

イメージ 3
Image いらすとや

実在する 「株式会社ジャパントラスト」「映音堂」 の2つ名前を織り交ぜて悪用した日本語表記の怪しい 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
件名 Re:お振込口座変更のご連絡
添付ファイル お振込口座変更のご連絡.doc

経理ご担当者様
いつも大変お世話になっております。
株式会社ジャパントラストの佐々木です。
今月分のご入金より振込口座の変更をさせていただきたいのですが、
ご対応可能でしょうか?
新たな振込先に関しましては、
現在、手続き中で11月23日に完了予定となります。
本日中に仮のご請求書データをお送り致しまして
手続き完了次第、正式なご請求書データをお送り致します。
急なご連絡になってしまい大変申し訳ございませんが、
ご対応をいただけますと大変助かります。
今後とも何卒よろしくお願いいたします。
━━ JapanTrast ,Inc. ━━
映音堂 大橋邦夫(Kagono Ohashi Kunio)
TEL/FAX:076-482-[数字]
mobile:090-2833-[数字]
mail:kunio@jpntrust[.]co.jp
URL:
www[.]jpntrust[.]co.jp
〒105-0013
東京都港区浜松町1-12-4 第2長谷川ビル2階
━━━━━━━━━━━━━
名前のない佐々木さんはともかく、フッターに登場する個人名の大橋さんと電話番号は架空のものでなく本物のようで、たまったもんじゃないですな。 <ヒドい

添付ファイルはマクロウイルス

メールには ワード文書ファイル(拡張子 .doc) が添付されていて、これはいわゆる マクロウイルス になります。

イメージ 4
「お振込口座変更のご連絡.doc

このdocファイルを Microsoft Word で開くと、文書上に次のような案内メッセージが日本語で表示され、ユーザーの心を操ってデフォルトで無効になってるマクロを有効化させようとします。

イメージ 1
手動でマクロを有効にさせる案内メッセージ

Microsoft Office
すこし問題がありました。
Office バージョンの問題により、ファイルのコンテンツをご閲覧頂けません。説明の通りにお行いください。
上の黄色いバーの「編集を有効にする」ボタンをクリックしてください。FireflyFramer
編集の後、黄色バーの「コンテンツの有効化」ボタンをクリックしてください。
以上の操作を完成後、officeの保護下、ファイルのコンテンツをご閲読頂けます。


このメッセージは攻撃者の仕込んだトラップです。 <日本語がいろいろ変だけど

それに気付かず、文書を正しく表示するのに必要な作業と思い込んで [コンテンツの有効化]ボタン をポチッと押してしまうと、外部ネットワークから Ursnifウイルス をダウンロードしてきて感染させる処理の発動です。

イメージ 2
マクロを許可した直後のプロセスの様子
powershell.exeを介して実行ファイルをダウンロード

【ワード文書ファイル】
84b21f7ccad8d3a0c0ab220873ab992d
www.virustotal.com/ja/file/d731bd6d4c10018895f062facadff8ce028b87a0e5a6d74c9ffc99cf71fe14c2/analysis/1511294112/

【Ursnifウイルス】
509e341138ad5e2477ed728f1859bcea
www.virustotal.com/ja/file/a39d73861553484263b6c85496a6be16fa71cd17afb3abaa34551f7deabf7f69/analysis/1511296200/


なお、攻撃ターゲットは Windows パソコンだけなので、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー といった環境は影響なく大丈夫♪

強力なウイルス対策で感染防ぐ

「怪しいファイルを開くな」 とは言うものの、それができずにやらかすユーザーさんが出現する現実もあるので、人為的ミスがあっても100%確実に感染しない Windows 向けウイルス対策を2つ紹介します。

【1】

メール攻撃者は Office ファイルのマクロ機能を悪用してるので、Microsoft Word や Microsoft Excel の設定を変更してマクロを完全に無効化すると、この感染手口は今後いっさい通用しません。 <セキュリティの設定を変えるだけなので無料

【2】

メール攻撃者はマルウェアのダウンロード処理に正規プログラム PowerShell(powershell.exe) を悪用してるので、あらかじめファイアウォールで通信ブロックしておくと安心です。 <標準実装されてる Windows ファイアウォールでも無料で対策可能

この記事に

開くトラックバック(0)

[ すべて表示 ]

本文はここまでですこのページの先頭へ
みんなの更新記事