eFaxを名乗る偽メール ウイルス配布サイトに誘導 eFax message from~
 
イメージ 1
eFaxを名乗る偽メール
 
日本にも進出してる米国インターネットFaxサービス eFax を勝手に名乗って不特定多数にバラ撒かれる英語表記な偽メール。。。
 
メール本文中のリンクをユーザーにクリックさせて、ウイルスを配布するダウンロードページヘ誘導してます。
偽メール
 ↓ ユーザーがクリック
https://goo.gl/JVWQHY ... 規約違反でGoogleが削除済み
 ↓ リダイレクト
http://efax-download .com/downloadfax.html
 ↓ ユーザーがクリック
https://goo.gl/N3WQjY  ... 規約違反でGoogleが削除済み
 ↓ リダイレクト
実行ファイルのダウンロード
URLアドレス efax-download .com なダウンロードページはこんな感じ。
 
イメージ 2
何か”ドキュメント”を配布してるダウンロードページ!?
 
ここでダウンロードできるのは、アイコン画像をPDF文書に偽装したスクリーンセーバー用実行ファイル(*.scr)になります。 <ダブルクリックして感染!
 
イメージ 3
Fax_001_25072014_998.scr
Fax_002_25201407211.scr
 
ttps://www.virustotal.com/ja/file/51b3f93d8ebd83fb01306c8797f50b01d14d2c0c9d861782dcca4b4dfbf80cc3/analysis/1406314190/

ttps://www.virustotal.com/ja/file/c334a47c2db5b8cf5924967041ac046d1e3426c31186e60f279d443c30378cd1/analysis/1406319336/
 
セキュリティ会社が名付けるウイルス検出名だと Upatre の亜種で、何か別のマルウェアをダウンロードしてきて起動する役目を担ってます。
 
今年上半期らへんまでは Zbot(GameOver Zeus) のパターンだったけど、これは2014年6月に報告された Dyreza(Dyre) という新しめなネットバンキングウイルスの落としこんでくるみたい。
New banker trojan in town: Dyreza (CSIS)
https://www.csis.dk/en/csis/news/4262/

New banking malware ‘Dyre’ targets Bank of America (ESET)
http://www.welivesecurity.com/2014/06/18/new-banking-malware-dyre-targets-bank-america-citigroup-accounts/

Dyreza - 銀行を狙うトロイの木馬が再び登場 (Fortinet)
http://www.fortinet.co.jp/security_blog/140620-Dyreza-The-Banking-Trojan-is-Back.html