ウイルス付き迷惑メールeFax message from 数字 1 page(s), Caller-ID
 
{{{ 2010年10月更新 }}}
 
日本にも進出してるインターネットFaxサービス eFax を勝手に名乗り、不特定多数にバラ撒かれる英語表記の 迷惑メール(スパムメール) にご注意を!
 
Faxのデータ受信通知を装ったウイルスメールの過去記事…
 
【1】 メール添付の圧縮ファイルを展開させて中の実行ファイル起動で感染
 
 
【2】 本文中のリンクからクリック誘導させてファイルのダウンロードから感染
 

添付ファイルなくメール本文のリンクを踏ませる

今回の迷惑メールはユーザーを記載リンクへ誘導する攻撃パターンでした。
 
イメージ 1
eFax名乗る偽メール! 企業ロゴをパクって正規メールを装う
eFax message from "(数字)" - 1 page(s), Caller-ID: 208-616-[数字]
Fax Message [Caller-ID: 208-616-[数字]]
You have received a 1 page fax at 2014-[数字]-[数字] 11:34:48 GMT.
* The reference number for this fax is lon2_did11-******-******-**.
Please visit https://www.efax.co.uk/myaccount/message/lon2_did11-******-*****-** to view this message in full.
Thank you for using the eFax service!
Home Contact Login
-----
© 2013 j2 Global, Inc. All rights reserved.
eFax® is a registered trademark of j2 Global, Inc.
This account is subject to the terms listed in the eFax® Customer Agreement.
表面上は eFax の公式サイトのURLアドレスが記載されてるけど、実際の飛び先は改ざん被害を受けてるサーバー上にアップされた踏み台ページになってます。
 
【攻撃の流れ】
迷惑メールを受信する
 ↓ 本文中のリンクをクリック
http://[ドメイン]/wp-content/themes/****/mess.html  ← 踏み台
 ↓ 強制的にリダイレクト
http://206.253.165[.]76:8080/ord/ef[.]html

偽 eFax Message Center でウイルス配布

行き着た先は、eFax の公式サイトではない 「eFax Message Center TM」を自称する 偽サイト でした。
 
イメージ 2
eFax 公式サイトのデザインをパクって構築された偽サイト
 
ここでナゾの圧縮アーカイブ(拡張子 .zip)がダウンロードできるので、ゲットして解凍・展開してみると中身は Windows向け実行ファイル拡張子 .exe) でした。
 
イメージ 3
よくあるアイコン画像の偽装は施されておらず
 
【配布ファイルの形式】
FAX_20141008_1412786088_26.zip
 ↓ ユーザーが手動で解凍・展開する
FAX_20141008_1412786088_26.exe
 
実行ファイルをオンラインスキャンサイトVirusTotal に投げると、おすすめセキュリティソフト のウイルス定義データで脅威と判定しない後追い対応です。 <攻撃者も妨害されないよう見越して新鮮な亜種検体を投入してる
 
www.virustotal.com/ja/file/6cae04a72c6ebfe322801f50cf60690382c579fa386dca0b2a37f9e2ccadf330/analysis/1413477082/
 
この正体は、Windowsパソコンを感染ターゲットにネットバンキング不正送金に繋がる Dridex ウイルスのようです。
 
ESET Win32/Dridex.C
Microsoft TrojanDownloader:Win32/Drixed.A
Symantec W32.Cridex
Trend Micro TROJ_DRIDEX
関連するブログ記事
タグ :
#Windows