様写真? 迷惑メールの添付ファイルsvg拡張子でウイルス感染被害
 
イメージ 4
Image いらとや
 
2017年1月17日に始まった日本語表記の添付ファイル付き迷惑メール からネットバンキング不正送金ウイルス Ursnif を感染させる攻撃は本日18日も開始。 <写真をダシに
 
■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!件名は「写真」「写真のみ 不足し」「写真 ご送付いただきまして ありがとうございます」「様写真」「様写真お送りします」「R e:写真ありがとうございます」。添付ファイルは写真等を装ったウイルスです。ご注意ください!"
https://twitter.com/MPD_yokushi/status/821512166356324352

■ 警視庁犯罪抑止対策本部さんのツイート: "【サイバー犯罪対策課】 ウイルス付メールが拡散中!メール件名は「添付写真について」。このメールに添付されているファイルは写真を装ったウイルスですので、決して開かないでください。"
https://twitter.com/MPD_yokushi/status/821512032054743040
 
添付ファイルはZIP形式の圧縮アーカイブで、これをユーザーが手動で解凍・展開すると中身は SVG ドキュメント拡張子 .svg)という新たな手口になってます。
 
イメージ 1
JPEG写真っぽく偽装された二重拡張子
「P0039988439992_001.jpg.svg
「00967999543-(02).svg

いちおうsvgは画像形式だけど、内部構造からjpegやpngといった画像と異なるテキストベースのファイルです。

■ 「HTMLとの親和性により、ハイパーリンクを埋め込んだり、JavaScript 等と連携させることもできる」 Scalable Vector Graphics - Wikipedia
https://ja.wikipedia.org/wiki/Scalable_Vector_Graphics
 
不正なsvgファイルをポチポチっとダブルクリックして開くと Internet Explorer ブラウザが開き、画面上に次の英語のメッセージが表示されます。
 
イメージ 2
! We do not support this file format. For view - install the extension.
(意味 → このファイル形式はサポートされてやせーん。表示するには拡張をインストールしてくだされ。)
この直後に、”表示に必要なエクステンション(拡張)” という嘘の名目のWindows向け実行ファイル xfs_extension.exe を実行するかブラウザの通知がポップアップ表示され手動で踏ませる手はずー。
 
イメージ 3
エラーで実行ファイル存在せず… 削除済み? 攻撃者のミス?
 
…だけども、この実行ファイルが置かれてるサーバー(スペインの鳥小屋サイト?)からは 404 not found が返ってきて実行ファイルを取得できず感染できませんでした。

[追記] svgファイルからUrsnifウイルス感染

午後(?)になって実行ファイルが置かれた状態になったので続きです。
 
IEブラウザの確認通知 『このWeb ページはスクリプトやActiveXコントロールを実行しないように制限されています。{ブロックされているコンテンツを許可}』 が表示されるので許可ボタンを押すと xfs_extension.exe を [実行] [保存] するか確認されます。
 
イメージ 5
 
ここで [実行] [保存] をポチッと押すと、手元でチェックした時点では SmartScreenフィルター のおかげで強制的にダウンロードを阻止されてしまい感染させてもらえず。
 
イメージ 6
「xfs_extension.exe のダウンロードは安全ではないため、
SmartScreenフィルターでブロックされました。」
 
SmartScreen フィルター: よく寄せられる質問 - Windows ヘルプ
https://support.microsoft.com/ja-jp/help/17443/
 
もし SmartScreenフィルター の対応ができてない時点だったり、故意に SmartScreenフィルター を無効にしてた場合に [実行] しても警告通知が表示されます。
 
イメージ 7
「xfs_extension.exe の発行元を確認できませんでした。
このプログラムを実行しますか?」
 
今回は感染したいので故意に実行すると、ネットバンキング不正送金被害に繋がる Ursnifウイルス が起動してアウトとなります。 <TSPY_URSNIF 読み方 アースニフ
 
イメージ 8
エクステンション名目のウイルスを起動し感染した瞬間
 
【実行ファイルのハッシュ値】
MD5 4da11c829f8fea1b690f317837af8387
www.virustotal.com/ja/file/3af18232a9175dea624a7947e6edef6a57457bdf6d3ba0ead58856a139db2832/analysis/1484718168/
 
Windowsユーザーに警告通知をすべて無視させてボタンを複数回押させない限り感染に至らないので、攻撃成功率は低そうな気がするけどどうなんでしょ?
 
昨日17日に行われた メールの添付ファイル.jsでUrsnifウイルス感染させる攻撃 は、トレンドマイクロによれば 『このマルウェアスパムから拡散される「URSNIF」は、17日12時時点までに 2,000件以上の検出台数を確認』 だとか。
 
2017年もマルウェアスパムの攻撃は継続中、新たな「火曜日朝」の拡散を確認 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/14296
関連するブログ記事