迷惑メールでウイルス感染Payment Overdue You have new Secure Message : 無題なログ

迷惑メールでウイルス感染Payment Overdue You have new Secure Message

Windows パソコンをターゲットにするウイルスが添付された英語の迷惑メール（スパムメール）を紹介します。

不審なEメールのテーマは金銭がらみが多くて、たいてい身に覚えがないはずなのに 不安で無視できなくて添付ファイルを確認したくなる ユーザーさんが手玉に取されます。

invoice … インボイス、請求書
payment … 支払い
reciept … レシート、領収書
attached / attachment … 添付の、添付ファイル

ウイルスメール例「You have a new Secure Message」

実在する米国のウェルズ・ファーゴ銀行（Wells Fargo & Company）を勝手に名乗って成りすまし「セキュアなメッセージを受信しました」として添付ファイルを開くよう誘導しています。

ウイルスメール件名 You have received a secure message
You have received a secure message
Read your secure message by opening SecureMessage.pdf. You will be prompted to open (view) the file or save (download) it to your computer. For best results, save the file first, then open it.
In order to view the attachment please open it using your email client ( Microsoft Outlook, Mozilla Thunderbird, Lotus ).
First time users - will need to register after opening the attachment.
About Email Encryption please check our website at http：//wellsfargo.com

その添付ファイルは .zip 形式の圧縮アーカイブ「SecureMessage.zip」です。

手元で解凍・展開してみたところ Windows 向けの スクリーンセーバーの実行ファイル （拡張子 .scr）を確認しました。

ウイルス「SecureMessage.scr」

Windows ユーザーさんに PDF 文書と勘違いさせるため、実行ファイルのアイコン画像が偽装されてありました。

このような場合、ファイルの拡張子の知識があると、セキュリティソフトの判断を仰ぐ必要なく、起動してはいけない危険なファイルか判別できます。

このスクリーンセーバーの正体は、Windows パソコンに何かしら別のマルウェア（ネットバンキング不正送金に繋がるトロイの木馬ウイルス、ファイルを暗号化して身代金を要求するランサムウェア）を送り込む Upatre ウイルスでした。

ウイルスメール例「Payment Overdue」

迷惑メールは『過去数ヶ月の請求書を添付しました。支払い契約に基づいて、2014年＊月＊日分の代金を送金してください』ということで、金銭を支払うよう督促通知を装っていました。

ただ、具体的に何の請求なのか金額も記載されておらず、添付ファイルに手が伸びてしまうトラップです。

ウイルスメール件名 Payment Overdue
Please find attached your invoices for the past months. Remit the payment by [数字]/[数字]/2014 as outlines under our "Payment Terms" agreement.
Thank you for your business,
Sincerely,
[人名]
This e-mail has been sent from an automated system. PLEASE DO NOT REPLY.

添付ファイルは .zip 形式の圧縮アーカイブ「invoice_04302014.zip」で、解凍・展開して中身を確認すると スクリーンセーバーの実行ファイル （拡張子 .scr）でした。

ウイルス「invoice_04302014.scr」

Windows ユーザーさんに PDF 文書と誤認させるためアイコン画像を 偽装されていて、正体は Windows パソコンに別のマルウェアを送り込むダウンローダー型トロイの木馬 Upatre ウイルスでした。

解凍した実行ファイルの起動でウイルス感染

この 2 つのウイルスメールは、次の手順を踏んでパソコンの侵害を許します。

【ウイルスメールによる攻撃手口の流れ】
Eメールに添付されてる圧縮ファイルを解凍・展開する
↓
中身の実行ファイルをユーザーさんの意思でダブルクリックして起動する
↓
ウイルス感染アウトーーー！

つまり、次のようなシチュエーションで、ウイルス即感染ではありません。

受信した迷惑メールの文章を読んだだけ
メールソフトがサポートするプレビュー機能でEメールの本文が表示されただけ
Eメールに添付されている圧縮アーカイブを解凍・展開しただけ

ウイルス検体をオンラインスキャンサイトにアップロードして確認すると、検出率がだいぶ低めな状況が分かり、感染成功率を上げるため セキュリティソフトが脅威と判定しない新鮮な亜種 を攻撃者がキッチリ準備している形です。

オンラインスキャン VirusTotal 結果 - Win32/Upatreウイルスの亜種
www.virustotal.com/ja/file/9c308177adf589712e4e86e0c5533ed8b3b6a13170be3864bb1a73c54f9d29cf/analysis/1399474493/

ちなみに、macOS、iOS （iPhone/iPad）、Android スマホ、ガラケーなどの環境は影響をいっさい受けず、スクリーンセーバー .scr は Windows パソコン上でしか動作しません。