FedEx配達メールでウイルス感染事例 js/wsf拡張子ファイルの対策2つ

イメージ 11

日本でも知られてる米国の国際運送会社 FedEx(フェデックス)

この FedFx を勝手に名乗る英語表記の ウイルス付き迷惑メール(スパムメール) が無差別にバラ撒かれてます。 <フェデックスの企業ロゴを真に受けないで

イメージ 1
実在企業 FedEx を騙るウイルスメール実例

イメージ 4
FedEx ロゴマークが目を引くウイルスメール実例

件名 Courier was unable to deliver the parcel, ID[数字] / Delivery Notification, ID [数字]
送信者 FedEx International Ground

FedEx ®
Dear Customer,
This is to confirm that one or more of your parcels has been shipped.
You can review complete details of your order in the find attached.
Yours faithfully,
[人名],
FedEx Support Agent.
(C) 201* FedEx. The content of this message is protected by copyright and trademark laws. All rights reserved
件名 Postal Notification #[数字] / Shipment delivery problem #[数字] / Problems with item delivery, n.[数字] / Unable to deliver your item, #[数字] / We could not deliver your parcel, #[数字]
送信者 FedEx International Ground / FedEx Standard Overnight / FedEx 2Day A.M.

FedEx ®
Dear [メールアドレスの一部]
This is to confirm that one or more of your parcels has been shipped.
Please, download Delivery Label attached to this email.
Thanks and best regards,
[人名],
Operation Manager.
(C) 201* FedEx. All rights reserved
件名 Shipment Notification ID#[数字] / Delivery Status Notification [数字]
送信者 FedEx 2Day / FedEx SmartPost

FedEx ®
Dear [メールアドレスの一部]
Your parcel has arrived at [日付]. Courier was unable to deliver the parcel to you.
Shipment Label is attached to email.
Yours trully,
[人名],
FedEx Support Manager.
(C) 201* FedEx. All rights reserved
件名 Delivery Notification, ID [数字] / Problem with parcel shipping, ID:[数字]
送信者 FedEx International Ground

Dear Customer,
We could not deliver your parcel.
Delivery Label is attached to this email.
Yours sincerely,
[人名],
FedEx Station Agent
件名 Problems with item delivery, n.[数字] / Shipment delivery problem #[数字]
送信者 FedEx International MailService / FedEx SmartPost / FedEx International Next Flight

Dear Customer,
We could not deliver your item.
Please, open email attachment to print shipment label.
Warm regards,
[人名],
FedEx Station Agent.
(c) 1995-201* FedEx. The content of this message is protected by copyright and trademark laws under international law
件名 FedEx issue #[数字]: unable to delivery parcel
Dear Customer,
Your item has arrived at [日付], but our courier was not able to deliver the parcel.
You can download the shipment label attached!
Sincerely yours,
[人名],
Senior Office Manager
件名 Parcel #[数字] shipment problem, please review
Dear Customer,
Your parcel was successfully delivered [日付] to FedEx Station, but our courier cound not contact you.
Download postal receipt attached to e-mail!
Thanks,
[人名],
Station Manager

誰からの何の荷物か具体的な情報はメール本文中でいっさい触れられてません。

FedEx の配達員が荷物を届けられませんでした』 として、ユーザーにメールの添付ファイルを開いて 「注文の詳細」「配達伝票」 を確認するよう誘惑する巧妙な詐欺の手口です。<うっかり狙い

圧縮アーカイブの中身はスクリプトファイル

メールの添付ファイルは zip形式の圧縮アーカイブ でした。

さっそく、このファイルを手動で解凍・展開してみると、中身は次のような スクリプトファイル の形式なのでした。

イメージ 5
JavaScript または JScript Script ファイル

イメージ 6
決してワード文書(拡張子 .doc)ではない

イメージ 2
拡張子「~.doc.js」
 
イメージ 9
拡張子「~.doc.wsf」

JavaScript ファイル / JScript Script ファイル … 拡張子 .js / .jse
Windows Script ファイル … 拡張子 .wsf

【メールの添付ファイル例】
FedEx_ID_[数字].zip / FedEx_[数字].zip / [数字].zip / Label_[数字].zip / [メールアドレスの一部]__Shipment_Notification_ID_[数字].zip  / Delivery_Notification_[数字].zip / Postal_Notification__[数字].zip / Item-Delivery-Details-[数字].zip / Ground-Label-[数字].zip
 ↓ 手動で解凍・展開する

FedEx_ID_[数字].doc.js / FedEx_[数字].doc.js / [数字].doc.js / Label_[数字].doc.js / [メールアドレスの一部]__Shipment_Notification_ID_[数字].doc.js / Delivery_Notification_[数字].doc.js / Postal_Notification__[数字].doc.js / Ground-Label-0006612268.doc.wsf / Item-Delivery-Details-[数字].doc.wsf

なお、このファイル形式は Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー では動作しないので影響なく大丈夫です。


二重拡張子で偽装するもアイコンは…

ファイル名を 二重拡張子 「~.doc.js」「~.doc.wsf」 に仕立てることで Microsoft Word で作成された FedEx 関連の文書ファイル(拡張子 .doc)とユーザーに誤解せようとしてます。

ただ、このファイル形式は任意のアイコン画像に変更できないので、アイコンは白紙の上に巻き物のような図案が描かれたデザインで固定になります。

イメージ 8 

イメージ 7
見慣れないアイコンで文書ファイルと思い込む?

イメージ 10
何だか分からないが故にダブルクリックしたくなる?

ただ、知識を持たない Windows ユーザーさんは、この巻き物を文書ファイルの形式と勘違いするやもしれず。

かつてこの手の ウイルスメール で採用される定番の形式は…


のはずで、そうではないウイルスの形式が投入されてるところがヤバいです。

というのも、このスクリプトファイルが採用された結果として、セキュリティ製品による対応が後手に回り不正なファイルを受け取ったタイミング次第では脅威と判定してくれない状況が発生するワケです。


ダブルクリックで開いたらウイルス感染

英語の FedEx メールではあるものの、身に覚えがあろうがなかろうが不安を覚えて確認したくなる心理的な衝動はけっこう大きいかもしれません。

  • 家族や友人が海外にいる

  • 海外ショッピングで荷物が届く予定になってる、海外との取引がある

  • まさか自分の名義で何か商品を勝手に注文された!?

このjsファイルやwsfファイルを Windows パソコン上でうっかり ダブルクリック して起動すると、外部ネットワークから 実行ファイル(拡張子 .exe)を1~3つほどダウンロードしてきてシレッと起動する攻撃処理の発動です。

イメージ 3
JavaScript でコーディング
ダウンローダ型トロイの木馬 Nemucodウイルス
http://[infected domain]/document.php?id=[***]&rnd=[***]
http://[infected domain]/counter/?id=[***]&rnd=[***] 

厄介なことに、Windows のシステムに最初から用意されてる正規プログラム wscript.exe がこのダウンロード処理を処理します。

これは正規プログラムが悪用することで セキュリティソフト の検出をうまく迂回させることができるとウイルスメール攻撃者が知ってるためです。

感染防ぐ無料ウイルスメール対策2つ

そんなウイルスメールの攻撃手口を100%確実に防ぐことができたらスゴい!

Windows 向けの 無料ウイルス対策2つ を別記事で紹介してるので参考にどぞ♪


【1】




【2】




関連するブログ記事