無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

2014/03

【危険】Flash Playerの偽更新ポップアップが改ざんされた一般サイト上に出現!?

改ざん被害を受けてる正規の一般サイト上に覆いかぶさる形で表示される
 
Flash Playerの偽更新ポップアップ
 
にご注意を! <日本国内も含め世界中のサイトでぶち当たる可能性ありん

http://i59.tinypic.com/t01bna.png
一般サイト上で突然表示される Adobe Flash Player のポップアップ!?!?
ADOBE FLASH PLAYER

An update to your Adobe Flash Player is required to display the media on this page

DOWNLOAD ***

Updating takes under a minute on broadband
ポップアップ上の「DOWNLOAD UPDATE」とか「DOWNLOAD NOW」のリンクをクリッすると、Flash Playerのインストーラと称するナゾのWindows向け実行ファイル(*.exe)がダウンロードされます。

http://i59.tinypic.com/2dw9hxw.png
実行ファイル FlashInstaller.exe
ttps://www.virustotal.com/ja/file/348ea8283173380cb252e6b5d8a2084377d22a3f5a9d5657b8db7ecc26d86336/analysis/1396181864/

イメージ 1
実行ファイル FlashSetup.exe
ttps://www.virustotal.com/ja/file/67fb0311f867eabde447286c4b29248d9a30813e6a4e67901af402b6bccbeea2/analysis/1404152874/
 
この実行ファイルには、正規の目印になる『Adobe Systems Incorporated』というデジタル署名が付いておらず、もち Flash Player のインストーラファイルではありません!
 
 
閲覧してるサイトが、まるで Flash の更新を促してるようユーザーを錯覚させてマルウェアの自爆感染を誘う手口になります。
 
Clodow ... 何かしら追加のマルウェアをダウンロードしてきて起動する

Fareit ... ブラウザのオートコンプリートFTPソフトのアカウントの情報を引っこ抜く、何かしら追加のマルウェアをダウンロードしてきて起動する
このエントリーをはてなブックマークに追加

アカウント確認のお願い迷惑メール 危険フィッシング詐欺誘導 偽スクエニ・ドラクエ
 
{{{ 2015年7月 更新 }}}
 
ドラクエ」や「ファイナルファンタジー」といった作品で知られる日本のゲーム開発会社 スクエア・エニックス(スクエニ) を勝手に名乗って不特定多数にバラ撒かれてる迷惑メール(スパムメール)にご注意を! 偽メールだヨー

件名 アカウント確認のお願い
差出人 ‏スクウェア·エニックス (autoinfo_jp @ account.square-enix.com)

◆既に報道されておりますが、オンラインサービスを提供している他社において 数千万件規模でID、パスワードやクレジット情報などの会員情報が不正アクセスの影響により 流失したとの情報を確認いたしました。
◆本人確認のための認証メールを送信いたします。 メールを受信して、以下の通りに記入してください.
◆アカウント*
◆パスワード*
◆EMAIL*
◆誕生日* 以下の通りに記入し、メール回答私たち
株式会社スクウェア·エニックス 2014年3月20日
この場合、メール本文中にフィッシング詐欺サイトへ誘導するURLアドレスは登場せず、送られてきたメールにユーザー名やパスワードを書いて返信して♪
 
…というトンデモ笑撃的な手口でした。 <手抜き?
 
スクエニやオンラインゲームと縁が有る無し関係なく、日本人のメールアドレス宛にとにかく片っ端から送信されてる感じ。 <下手な鉄砲も数撃ちゃ当たる理論ね
 
メール送信者は、もちろんスクエニではないけど、攻撃者の細工で表面的な差出人のところが偽装されてるからダマサれませぬよう。
 
フィッシング詐欺サイトへ誘導するメールやメッセージにご注意ください (SQUARE ENIX)
http://www.jp.square-enix.com/info/1308_attention.html
 

 
<2015年4月 追記...>
 
同じ「アカウント確認のお願い」という件名で、メール本文中のURLアドレスを踏ませてクリック誘導するタイプも着弾してます。
件名 アカウント確認のお願い
◆既に報道されておりますが、オンラインサービスを提供している他社において 数千万件規模でID、パスワードやクレジット情報などの会員情報が不正アクセスの影響により 流失したとの情報を確認いたしました。
◆本人確認のための認証メールを送信いたします。 メールを受信して、記載されているURLをクリックしてください。
http://secure.square-enix. com/account/app/svc/Login.htm?cont=account=112&cg=1&no=856
株式会社スクウェア·エニックス

試しに誘導先を突撃してみたら、ドラクエXの偽ログインページでした。
 
イメージ 1
『ドラゴンクエストX 目覚めし冒険者の広場』を名乗る不正なページ
 
http // hiroba.dqx.jp.xz.qjcbswe[.]com/account/app/svc/login.html
http // hiroba.dqx.jp.sd.ghjlyj[.]com/account/app/svc/login.html
http // hiroba.dqx.jp.ml.kvomolu[.]com/account/app/svc/login.html
http // hiroba.dqx.jp.dc.kribgkz[.]com/account/app/svc/login.html
 
何か本物っぽい?
というのも、これは本物のスクエニの公式サイトから画像ファイルやデザインを丸パクりして詐欺サイトを構築してるのです。

まず見た目でダマすことで、うっかりユーザーさんから大事なオンラインゲームのアカウントを入力して送信させる狙いがあるワケです。
 
イメージ 2
アドレスバーのURLアドレスに注目せよ!
 
ちなみに、フィッシング詐欺サイトの見分け方というか、上部のブラウザのアドレスバーのURLアドレスをよくよく確認すれば、スクエニでも何でもないことがすぐ分かりますよ。
関連するブログ記事
常確認のお願い? 偽スクエニ迷惑メールで危険フィッシング詐欺ページへ誘導
本人確認のための認証/違反行為の報告 迷惑メールからフィッシング詐欺サイトへ誘導
・ スクエニ詐欺メール「あなたの異常ID あなたの口座に保管」「ID確認、パスワード再設定用メール送付」

このエントリーをはてなブックマークに追加

テレビ西日本のホームページが改ざん被害 他に信用金庫のサイトが改ざんされる例も…



  • マスコミ2社のHP改ざん (NHK 福岡 NEWS)
    http://www3.nhk.or.jp/fukuoka-news/20140320/3125661.html


テレビ西日本によりますと、ページの中の表示をクリックすると、「トロイの木馬」と呼ばれるコンピューターウイルスが別のサイトからダウンロードされるように改ざんされていたということです。

テレビ西日本では、翌日に対策を講じましたが、これ以外にも去年の11月以降、同様の不正な改ざんが3回みつかていて、テレビ西日本によると、閲覧した人から被害の申し出はないということです。



  • テレビ西日本のHP改ざん被害 (西日本新聞)
    http://www.nishinippon.co.jp/nnp/national/article/77050


第三者から不正アクセスされたとみられ、番組紹介の箇所をクリックすると、韓国系企業のHPなどに誘導されるよう書き換えられていたという。


同社によると、昨年11月末から今月10日までに3~4回書き換えられていた。


福岡にあるテレビ西日本(TNC)のホームページが去年から複数回侵害されてたんだそうで…。


現在は修正されてるけどGoogleの検索結果より


ちなみに、記事に登場する『韓国系企業のHP』ってのは、”高麗人参 営農組合”(gin3.co.kr)という韓国の正規サイトみたいで、こっちも悪意のある第三者にハッキングされて踏み台として悪用された形。


信用金庫の公式サイトが改ざん被害


同じ系統と思われる侵害例として、愛知の岡崎信用金庫の公式サイト内の一部ページ(?)が改ざんされたのを確認してます。
Bingのキャッシュページより


このエントリーをはてなブックマークに追加

↑このページのトップヘ