迷惑メールYou have received voice mailでウイルス感染 音声ファイル偽装で危険!

Image いらすとや
『You have received a voice mail』(意味 → 音声メールを受信しました) という件名で無差別にバラ撒かれる英語表記の 迷惑メール(スパムメール) を紹介しましょう。
<危険な偽メール!

件名 You have received a voice mail
送信者 Microsoft OutlookYou received a voice mail : VOICE[数字]-[数字]-[数字].wav (26 KB)
Caller-Id: [数字]-[数字]-[数字]
Message-Id: [英数字]
Email-Id: [メールアドレス]
This e-mail contains a voice message.
Download and extract the attachment to listen the message.
Sent by Microsoft Exchange Server
「Voicemail」「Voice Message」… いわゆる留守電や伝言サービスの受信通知を装い、言葉巧みに ”メッセージを聞きたいなら添付ファイルの確認を” と誘惑する手口です。
多くのユーザーさんにとってサッパリ身に覚えがないメールにも関わらず、誰からのメッセージか具体的なことも書かれてないので、気になって無視できなくなるトラップとなります。
<そうなるようメール攻撃者が意図的に狙ってる

添付ファイルの正体はウイルス
この迷惑メールには、zp形式の圧縮アーカイブが添付されてました。
手動で解凍・展開して中身をチェックしてみると、音声ファイルっぽくアイコン画像が偽装された Windows向け実行ファイル(拡張子 .exe) や スクリーンセーバー(拡張子 .scr) でした。
<ヤバイよヤバイよ~


音声データっぽいアイコン画像?

正体は危険な実行ファイル
【添付ファイルの例】
VOICE[数字]-[数字]-[数字].zip / voice[数字]-[数字]-[数字].zip / VOICE[数字].wav.zip
↓ 解凍・展開する
voice-[数字]-[数字]-[数字].exe
VOICE[数字]-[数字]-[数字].exe
VOICE[数字]-[数字]-[数字].scr
VOICE[数字].scr
VOICE[数字].wav.exe
この攻撃手口は、ユーザー自ら実行ファイルをダブルクリックで起動してもらいマルウェアの自爆感染を狙う古典的な手法です。
そのため、ウイルス対策の基本である ファイルの拡張子に注意を払う ことで異変に気づけて感染を防げるけど、アイコン画像に目がいくユーザーさんは躊躇なく踏み抜くやも…。 

セキュリティ対策ソフトが脅威と判定しない?
詐欺メール着弾直後に セキュリティ対策ソフト でファイルスキャンを行っても、ウイルス定義を更新して後を追う以上はタイミング次第で脅威判定しません。
- マルウェアではなく安全である
- 検出対応が間に合ってないだけ ← コッチの場合はヤバイ!
なお、Windows XP/Vista/7/8 パソコン以外の環境 Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー ではいっさい動作しないファイル形式なので影響なく大丈夫です。 



<2017年8月 追記...>
”Voice Message” を題材にした英語表記の 迷惑メール(スパムメール) が不特定多数にバラ撒かれてます。
手元で受信してる詐欺メールの件名はこんな感じです。 


受信したウイルスメールの実例
【迷惑メールの件名例】
Voice Message from [数字] - name unavailable
Voice Message Attached from [数字] - name unavailable FireflyFramer
New voice message [数字] in mailbox [数字] from «[数字]»
New voice message [数字] in mailbox [数字] from "[数字]" <[数字]>
PBX: New message [数字] in mailbox [数字] from “[英数字]”
Voicemail From 845-551-[数字] at 9:35AM
Voicemail From 845-551-[数字]
Message from [数字] FireflyFramer
Voice Message from Outside Caller ([数字]m [数字]s)
Voicemail from [数字] ([数字]) [数字]m [数字]s
2014年代のウイルスメールと違う特徴として、Windows の スクリプトファイル が採用されてます。
<『怪しい実行ファイル に気をつけろ』 が通用しない


ウイルス感染に至る流れ
【ウイルスメール攻撃の流れ1】
メール本文中の誘導リンク
↓ ポチッとな
スクリプトファイルのダウンロード (拡張子 .js / .jse / .vbs / .wsf)
↓ ダブルクリックして開く
ランサムウェアやネットバンキングウイルスに感染
【ウイルスメール攻撃の流れ2】
メールの添付ファイルに圧縮アーカイブ (拡張子 .zip / .rar / .7z)
↓ 解凍・展開する
中からスクリプトファイルが登場 (拡張子 .js / .jse / .vbs / .wsf)
↓ ダブルクリックして開く
ランサムウェアやネットバンキングウイルスに感染
この流れで明らかなのは、セキュリティ製品やスパムフィルタをスリ抜けさせて Windows ユーザーさんの元に何とか届かせようと狙ってるところでしょう。 

- セキュリティ製品のスリ抜けが期待できるスクリプトファイル
- リンクからスクリプトファイルをダウンロードさせて添付ファイルがない
ただ、このウイルスメール攻撃を確実に妨害できて感染しなくする 無料ウイルス対策 が存在し、手元の環境では実施済みなので傍観してます。 
<おすすめ~


関連するブログ記事
・ ウイルス付き迷惑メールYou have received a new fax PDF文章に偽装
・ Scanned Image from a Xerox WorkCentre ウイルス付き迷惑メールにご注意を
最終更新日: 2017/12/20
コメント