迷惑メールeFax message from page Caller-IDでウイルス感染被害
米国の j2 Global, Inc. が運営するインターネット Fax サービス eFax(イーファックス) を勝手に名乗ってる英語表記の 迷惑メール(スパムメール) を受信しましたよ。 

HTML 形式メールなので、画像も使い凝ったデザインです。

偽 eFax メール!
本物の企業ロゴの画像が悪用されまくり
件名 eFax message from "POTS modem 2 " - 1 page(s), Caller-ID: 1-630-226-2563 / eFax message from "unknown" - 1 page(s), Caller-ID: 1-219-972-8538 / eFax message from "Prod3-1 " - 3 page(s), Caller-ID: 1-630-226-2511 / eFax message from "POTS modem 4 " - 2 page(s), Caller-ID: 1-630-226-2565
送信者 <message@inbound.efax.com> / eFax
eFax Faxing Simplified
JOIN THE eFax COMMUNITY
You have a new eFax message. To view your message, see your fax attached or login here.
Fax Details
Caller Id: 1-630-226-2563
Received: 2015-02-24 16:40:51 CST
Type: Attached in pdf
Number of pages: 1
Reference #: pdx_did4-162019947-16950688673-99
With eFax, did you know you can:
• Send faxes from your desktop or mobile device
• Sign and edit faxes with no printing required
• Send large files by email (up to 1 GB)
Learn more >>
Thank you for using eFax!Sincerely,
The eFax Team
P.S. Want more solutions to help your business?
Test drive our cloud services from j2 Global with a Free Trial today!
右上に見える共有アイコン(Facebook、Twitter、Google、YouTube)や、右側の縦型のバナー画像、メール本文中に複数のリンクが用意されてます。
ただし、全リンクが eFax の公式サイトへアクセスするようになってました。
つまり、eFax 騙った偽ログインページへ誘導する フィッシング詐欺 が目的の迷惑メールではないことが分かりました。 

添付ファイルはPDF文書? 実際はウイルス
一方で、この迷惑メール(スパムメール)には、zip 形式の圧縮アーカイブが添付されてました。

ん? PDF文書ファイル?

アイコンを偽装!
ユーザーに開いてもらう戦略
ユーザーに開いてもらう戦略
fax_2342.zip
↓ 展開・解凍
fax_2342.exe
FAX_20150226_1424989043_176.zip
FAX_20150301_1425207426_89.zip
FAX_20150311_1426082680_127.zip
↓ 展開・解凍
FAX_20150226_1424989043_176.exe
FAX_20150301_1425207426_89.exe
FAX_20150311_1426082680_127.exe
記事を投稿してる時点で、この実行ファイルの正体は、Windows PC を狙ったトロイの木馬 Upatreでした。 

Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は影響しません。
FAX の受信データと思い込み、Windows ユーザーさんが Upatre ウイルスをポチポチッとダブルクリックすると、さらにネットバンキング不正送金ウイルス 「Dyre」「Dyreza」「Dyzap」 をダウンロードしてきて感染させます。
TrojanDownloader:Win32/Upatre
www.virustotal.com/ja/file/c4556b57ff046c56cf8a53f55bd825570882444b284589547f688b98bf1adbc9/analysis/1424874409/
www.virustotal.com/ja/file/de32206ccde1b20a944c5ac4c49a565d9d65ba4786bacc37aa18c2ca7d83b39f/analysis/1425055493/
↓ 裏でひっそりとダウンロードしてくる
PWS:Win32/Dyzap
ttps://www.virustotal.com/ja/file/5d0d7ef2ca566a45f3a619289e04242cb75d7154799b9b4b28bb5c81922eb100/analysis/1424874620/
ttps://www.virustotal.com/ja/file/7526cbe7193845538fb176d28befce7d46d732417fdac940d6b801c19c6f4e21/analysis/1425055654/
セキュリティソフト のウイルス定義データでの白黒判定は?
何だかんだ、後出しジャンケン してるワケで、セキュリティ会社の検出が後手に回ることもザラです。
<攻撃者は感染成功させるため新鮮ピチピチな亜種を投入

ファイアウォールは有効だが対処してる?
ちなみに、Windows ユーザーさんが ファイアウォール をうまく制御できてるなら、Upatre がマルウェアをさらにダウンロードする動作を確実に阻止できます。
次のような Windows ユーザーさんは対処しないとヤバい!
● 市販セキュリティソフトの中でファイアウォール未実装の低価格タイプ
(Norton Antivirus、ESET NOD32 Antivirus、Kaspersky Anti-Viurs など)
(Norton Antivirus、ESET NOD32 Antivirus、Kaspersky Anti-Viurs など)
コメント