Citibank Merchant Statementウイルス添付メール 脆弱性悪用Wordファイルも
 
アメリカの銀行グループ Citibank(シティバンク) からの売買報告書を装った英語表記の迷惑メールが撒かれたそうな。
件名 Merchant Statement
 
Enclosed is your Citibank Paymentech electronic Merchant Billing Statement. If you need help, please contact your Account Executive or call Merchant Services at the telephone number listed on your statement. PLEASE DO NOT RESPOND BY USING REPLY.
(以下略)
メールに添付されてるZIP形式の圧縮ファイルです。
 
手動で解凍すると、中身はまんま実行ファイル(拡張子 *.exe)Zbotウイルスさんでしたー。 <自爆感染してしまうおっちょこちょいさんやっぱいる?
 
Statement ID 4657-345-347-0332.zip
Statement ID 758-456-324-562-457.zip
Statement ID 758-456-324-562-456.zip
 ↓ 解凍
Statement ID 4657-345-347-0332.exe
Statement ID 758-456-324-562-457.exe
Statement ID 758-456-324-562-456.exe
 
> ttps://www.virustotal.com/ja/file/09c0e484b6d902911c51b2280a212ae14a4e8549dde27df71327602e9835463f/analysis/
> ttps://www.virustotal.com/ja/file/52dc5d89ed540061e4779b5c21c2c6be288aba9373271434157489c7addcdb03/analysis/
> ttps://www.virustotal.com/ja/file/1c771b40fd00792a88cfe68138ae9b091b6421a781cc8708091a5e7b10e1745e/analysis/
 
 
<追記...>


上の手口は古典的と言えるけど、注意が必要なのも…。

件名 Merchant Statement
 
Attached DOC is your Citibank Paymentech electronic Merchant Billing Statement. If you need assistance, please contact your Account Executive or call Merchant Services at the telephone number listed on your statement. PLEASE DO NOT RESPOND BY USING REPLY.
(以下略)
メールに添付されてたファイルは、実行ファイルではありません。
 
Statement ID 4657-345-347-0332.doc
Statement ID 64775-4985.doc
   
Microsoft Office に影響がある脆弱性を悪用する不正なWord文書ファイル(拡張子 *.doc)となるのようです。
 
■ 情報処理推進機構:情報セキュリティ:Microsoft Office等の脆弱性について (MS12-027) (CVE-2012-0158)
http://www.ipa.go.jp/security/ciadr/vul/20120411-Windows.html
 
■ Dynamoo's Blog: Citibank spam / Statement ID 64775-4985.doc
http://blog.dynamoo.com/2013/05/citibank-spam-statement-id-64775-4985doc.html
 
このDOCファイルを開くと同時に、何かしらメインのマルウェアが裏でひっそりドロップされて感染してしまう手口になります。
  
ただ、悪用される脆弱性は去年2012年4月時点で解消済みです。
 
まさか Windows Update が済んでないダメユーザーさんはいないと思うけど、EXEファイルとDOCファイルでは”うっかり開く率”に違いがあるはず?
 
タグ :
Windows