迷惑メールでウイルス感染Payment Overdue You have a new Secure Message

イメージ 3
Image いらすとや


メールの内容では金銭がらみの題材になっていて、多くの場合に身に覚えがないはずなのに 不安にかられて無視できなくなり添付ファイルを確認したくなる ユーザーさんを手玉に取る戦法です。

○ invoice … 請求書、インボイス
○ payment … 支払い
○ reciept … 領収書、レシート
○ attached / attachment … 添付の、添付ファイル

ウイルスメール You have a new Secure Message

実在する米国の ウェルズ・ファーゴ銀行 を勝手に名乗って成りすまし、セキュアメッセージを受信したとして添付ファイルを開くよう誘導します。
件名 You have received a secure message 
You have received a secure message
Read your secure message by opening SecureMessage.pdf. You will be prompted to open (view) the file or save (download) it to your computer. For best results, save the file first, then open it.
In order to view the attachment please open it using your email client ( Microsoft Outlook, Mozilla Thunderbird, Lotus ).
First time users - will need to register after opening the attachment.
About Email Encryption please check our website at http://wellsfargo.com
添付ファイルはzip形式の圧縮アーカイブなので、解凍・展開すると スクリーンセーバー拡張子 .scr) が登場しました。

イメージ 2
SecureMessage.zip ⇒ SecureMessage.scr

ユーザーにPDF文書と誤認させるためアイコン画像を 偽装 してるけど、ファイルの形式(拡張子) の知識 があると、セキュリティソフトの判断を仰がず危険なファイルと見抜けます。

このスクリーンセーバーの正体はWindowsパソコンに何かしら別のマルウェア(ネットバンキング不正送金ウイルス、ファイル暗号化ランサムウェア)を送り込んで感染させる運び屋を担う Upatreウイルス でした。

ウイルスメール Payment Overdue

次の迷惑メールは 『過去数ヶ月の請求確認書を添付した。支払い契約に基づき2014年X月X日分の代金を送金するように』 ということで金銭の支払い督促通知を装ってます。 <具体的に何の請求かまったく記載されてない
件名 Payment Overdue
Please find attached your invoices for the past months. Remit the payment by [数字]/[数字]/2014 as outlines under our "Payment Terms" agreement.
Thank you for your business,
Sincerely,
[人名]
This e-mail has been sent from an automated system. PLEASE DO NOT REPLY.
こちらも添付ファイルはzip形式の圧縮アーカイブで、解凍・展開して中身を確認したら スクリーンセーバー拡張子 .scr) が登場しました。

イメージ 1 
invoice_04302014.zip ⇒ invoice_04302014.scr

ユーザーにPDF文書と誤認させるためアイコン画像を偽装するトリックが施され、これもWindowsパソコンに別のマルウェアを送り込む Upatreウイルス でした。

解凍して実行ファイルの起動で感染アウト!

これ2つのウイルスメールは下のような手順を踏んで初めて侵害されます。
【ウイルスメールによる攻撃の流れ】
メールに添付されてる圧縮ファイルを手動で解凍・展開する
 ↓
中身のファイルをユーザーの意思でダブルクリックして起動する
 ↓
ウイルス感染アウト!
つまり、次のようなシチュエーションではまだウイルス感染に至ってません。
  • 迷惑メール(スパムメール)を受信して文章を読んだだけ
  • メールソフトのプレビューでメールの内容が表示されただけ
  • 圧縮アーカイブを解凍・展開しただけ

オンラインスキャンサイトでウイルス検体ファイルをアップロードして確認すると検出率がものスゴく酷い現実を目の当たりにするけど、感染成功率を上げるためセキュリティソフトが脅威と検出しない新鮮な亜種 を攻撃者が準備してます。
 
オンラインスキャン VirusTotal 結果 - Win32/Upatreウイルスの亜種
www.virustotal.com/ja/file/9c308177adf589712e4e86e0c5533ed8b3b6a13170be3864bb1a73c54f9d29cf/analysis/1399474493/

それでも、ウイルス定義データを更新して後を追って対応してる”イタチごっこ”状態な セキュリティソフトの効果 をぜひ! 

ちなみに、Mac OS X、iOS(iPhone/iPad)、Androidスマホ、ガラケー は影響あるのかというと、スクリーンセーバーはWindowsパソコンだけのみ動作する形式なので無関係です。 
関連するブログ記事