New Fax Message迷惑メールにウイルス アイコン偽装&二重拡張子 RingCentral
 
New Fax Message on [日付]』という件名で、実在する米国企業 RingCentral(リングセントラル) に成りすました英語表記の 迷惑メール(スパムメール) の紹介です。
 
イメージ 1
件名 New Fax Message on **/**/2014
You Have a New Fax Message
From: (650) 741-2836
Received: Monday, March 23, 2014 at 2:40 PM
Pages: 9
To view this message, please open the attachment
Thank you for using RingCentral.
Wikipeida によると、RingCentral はクラウドベースのビジネス向け電話システムを提供してるところだとか。
 
ここは RingCentral Fax というFax受信サービスを提供していて、受信機を所有してない顧客に対して受信データをメール宛に変換して配信するそうで、そのサービスを装った 偽メール というワケ。

添付ファイルの中身は… 偽装された実行ファイル

メールの添付ファイルはZIP形式の圧縮アーカイブfax.zip」なので、手動で展開・解凍してみると中身は…。
 
イメージ 2
実行ファイル fax.pdf.exe
  • 実行ファイルのアイコン画像をPDF文書っぽく偽装
  • ファイル名を二重拡張子にしてPDF文書っぽく偽装
Windowsの設定でデフォルトのままファイルの拡張子が非表示 だと、表面的には「fax.pdf」と表示されるので偽装トラップにまったく気づかないことに。
 
ウイルス自爆感染を誘う手口なので、ユーザーの意思で実行ファイルをダブルクリックして起動してしまったらアウトー!
 
 
ちなみに、この実行ファイルの正体はスパイウェア PWS:Win32/Zbot を外部ネットワークからダウンロードしてくるダウンローダ型トロイの木馬 Win32/Upatre でした。
関連するブログ記事