無題なログ

セキュリティ情報、迷惑メール、フィッシング詐欺、迷惑ソフト削除、Windows の小ネタを書き出している日本語ブログです~ (*^ー^)ノ

2016/04

日本郵政装う迷惑メール 拡張子jseファイルを開いたウイルス感染した!

イメージ 3
Image いらすとや

去年2015年から継続的に投入されてます。

日本郵政 を勝手に名乗って成りすまし、荷物の配達通知っぽく偽装した日本語表記の 迷惑メール(スパムメール) が着弾すーるする。 <内容が内容だけに迷惑メールをどうしても無視できない
件名 (なし)
送信者 日本郵政-日本郵政

拝啓
配達員が注文番号 [数字] の商品を配達するため電話で連絡を差し上げたのですが、つながりませんでした。従ってご注文の品はターミナルに返送されました。ご注文登録時に入力していただいた電話番号に誤りがあったことが分かりました。このメールに添付されている委託運送状を印刷して、最寄りの 日本郵政 取り扱い郵便局までお問い合わせください。
メールの添付ファイルを確認するよう言葉巧みに誘導していて、ZIP形式の圧縮アーカイブを展開 すると不正な JavaScriptファイル/JScript Scriptファイル が登場しました。 ファイルの拡張子 は .jse

イメージ 1
圧縮ファイルの中身「JScript Encoded Scriptファイル」
そもそも リードインボイス って何?
 
【日本郵政偽装メールの添付ファイル】
EMS - トラック番号[数字]のリードインボイス.zip
 ↓ 解凍・展開する

EMS - トラック番号5546668のリードインボイス3.jse
 
今まで攻撃者(東欧? ロシア?)は日本語2バイト文字の扱いに苦労してて、Windows標準の展開機能やアーカイバソフトによっては 日本語ファイル名が文字化けする現象 に見舞われてたけど、これは正常にファイル名を出力できて問題解決?

jseファイルを踏み抜くとネットバキングウイルス感染!

この不正なjseファイルは スクリプウイルス という分類になり、Windowsパソコン上でポチポチっと ダブルクリック して開くと、そのまま攻撃処理の発動となるので実際に手元で踏んでみました。

イメージ 2
wscript.exe の下にコマンドプロンプトが起動し
更にその下にナゾのtmpファイルが起動してる

Windowsパソコンをターゲットに ネットバンキングの不正送金被害 につながるコンピュータウイルス Rovnix(ロブニクス) の実行ファイルが外部ネットワークからヒッソリとダウンロードされてきてシレッと起動しました。

オンラインスキャン VirusTotal のスキャン結果は次のようになってて、ウイルス定義データの検出率はこんなもんです。 <攻撃者も遊んでるワケじゃない
 
■ MD5 5eee8eefe4ec1ba20d262733b5d084ac
www.virustotal.com/ja/file/06b43876868cec2bb0671aca62e75c3f5f4bab29f72e206105fa2b6ee926cfdc/analysis/1461710078/
 
■ MD5 4b762c53f28c14fe35e5830616df5c6e
www.virustotal.com/ja/file/aa15840f6d46c7e913dd22c1a31d421894a0033ff45d80a7671855aac6e2664b/analysis/1461712531/
 
ちなみに、この攻撃ターゲットはWindowsパソコンのみで、Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー らへんの環境はjseファイルを開いてもまったく動作せず影響範囲外なのでご安心を。

スクリプトウイルスの無料対策

スクリプウイルス のファイル形式は次のような拡張子があり、迷惑メールの添付ファイル として投入される機会もけっこう多く、今回のようにセキュリティ製品のスリ抜けもザラにあります。
  • 「~.js
  • 「~.jse」 
  • 「~.wsf
  • 「~.vbs
何だかんだ人間はヒューマンエラーを必ず起こすので、不正なファイルと気付かずに ”うっかり” 開いた想定で、↓ウイルス感染攻撃を100%失敗させる事前の無料ウイルス対策 があるのでオススメします。
関連するブログ記事
このエントリーをはてなブックマークに追加

給与計算の件お世話になります迷惑メール 添付ファイルでウイルス感染!
 
”給与計算”ってな名目で業務連絡っぽく装った日本語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれたみたいで。
件名 給与計算の件
件名 payroll

お世話になります。
給与計算が終わりましたので
ご確認下さい。
よろしくお願いします。
危なっかしいメールを受けとったユーザーさんたちのお話~。
 
■ なひたふさんのツイート: "「給与計算の件」とかいうZIPが添付されたメールが届いた。ウィルスなんだろうとは思うけど、流暢な日本語で月末を狙ってくるなんて・・・。機械的に生成されたものではなく、明確な目的を持って人が作っているんだろう。"
https://twitter.com/nahitafu/status/725234525140324352
 
■ さこももみさんのツイート: "ムハンマドが私の給与計算してくれたらしい。ムハンマドには巧妙なスパムメールのスキルが足りなさすぎる。"
https://twitter.com/sakomomomi/status/725234691385630720
 
■ Dai∧( 'Θ' )∧さんのツイート: "「給与計算の件」 という表題でZIP付きのメールが来ました。 私は自営なので給与計算は自分でやっており、こんなメールが来る筈も無いのですが、サラリーマンの方は注意した方が良いでしょう"
https://twitter.com/DaiMikami/status/725233988961366016

■ tss (NAVERまとめ掲載禁止)さんのツイート: "ZIP でくるんだ .EXE を添付した「給与計算の件」というメールが飛び交っている模様。本文は 「お世話になります。 給与計算が終わりましたので ご確認下さい。 よろしくお願いします。」 どう考えてもあかんやつ。"
https://twitter.com/tss_0101/status/725238488178683904
 
メールにはZIP形式の圧縮ファイル『4月.zip』(=4月.zip)が添付されてるそうで、解凍・展開すると Windows用実行ファイル(拡張子 *.exe) が登場し、Windowsユーザーにダブルクリックで踏ませる流れと。
 
MD5 b00caa51e801037e26aa471ff9b642ff
www.virustotal.com/en/file/a565ab615602c194a1e85c9f515948b083999892955c3e43917d22740e93aa5a/analysis/1461742544/
 
現物の検体ファイルが手元にないので分からんけど、ネットバンキング不正送金に繋がるURLZone/Shiotobウイルス?
 

 
[4月28日 追記...]
 
■ Analysis Centerさんのツイート: "「給与計算の件」という件名で、「4月.zip」というファイルが添付されたマルウエア添付メールを確認しています。添付ファイルを実行した場合、本日時点では最終的に Ursnif/ISFB(バンキングトロイ)に感染することを確認しました。添付ファイルを開かないようご注意ください。^AF"
https://twitter.com/jpcert_ac/status/725621401554587648
 
ネットバンキングウイルスだそう。。。
関連するブログ記事
このエントリーをはてなブックマークに追加

MINISTRY of JUSTICEランサムウェア感染経路判明 広告でウイルス強制感染

イメージ 4


イメージ 1
法務省・警察・国土安全保障省 日本向けデバイスロック画面
注意!お使いのデバイスがロックされている、その理由を以下に示します

米国のセキュリティ会社ブルーコートシステムズのブログ記事によると、何ともナゾだった ランサムウェアウイルスの感染手口や感染経路 を指摘してます。
 
Blue Coat | Android Towelroot Exploit Dogspectus Ransomware
https://www.bluecoat.com/security-blog/2016-04-25/android-exploit-delivers-dogspectus-ransomware
 
その攻撃手口は Android OS の標準ブラウザを使ってネットサーフィン中、Android 4.x系 に存在する脆弱性を悪用する不正な攻撃処理 を広告配信サーバー経由でコッソリ読み込ませるそう。

この手法により、スマホユーザーに対して Android アプリの導入を確認する場面いっさいなく、Android端末へランサムウェアウイルスの強制インストールが実現されてる模様です。

イメージ 3
通常なら表示されるAndroidアプリ導入時の確認



<4月27日 追記...>

ITニュースサイトで、このランサムウェアのウイルス感染手口が報じられ始めました。

古いAndroidは「XP状態」、ランサムウェア感染攻撃を確認 - ITmedia
http://www.itmedia.co.jp/enterprise/articles/1604/26/news071.html
 
Android 4.3以前の標準ブラウザーは修正パッチの提供打ち切り、セキュリティ担当者が見解を示す -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20150126_685459.html

Google が公開してる Android Developersダッシュボード から2016年4月時点の Android OS のバージョン別市場シェアはこんな感じ。

イメージ 2
http://developer.android.com/intl/ja/about/dashboards/

ランサウェア感染攻撃に悪用されてる Android OS 標準ブラウザの脆弱性は、バージョン 4.0/4.1/4.2/4.3 に存在するとされていて、合計シェアは23%です。

つまり、Android 端末中10台のうち約2台は影響しうることになります。

なお、セキュリティ会社ブルーコートの顧客には、Android OS の脆弱性の影響を受けないはずの バージョン4.4 でのランサムウェア感染被害も確認してるとしてます。

MINISTRY OF JUSTICEランサムウェア感染経路

ウイルス感染経路1

海外のアダルトサイトで映像再生に必要な動作再生プレーヤーみたいな名目で Android アプリの導入を誘導して自爆感染してもらうパターン?
 
ウイルス感染経路2日本での感染原因はほぼコッチ?

ネットサーフィン中に広告配信サーバー経由で不正な攻撃処理を裏でコッソリ読み込まされて、スマホユーザーに何も確認なくランサムウェアのアプリが強制的にインストールされるパターン (ドライブバイ・ダウンロード攻撃)
関連するブログ記事
このエントリーをはてなブックマークに追加

↑このページのトップヘ