迷惑メールeFax message from page Caller-IDでウイルス感染被害

イメージ 4

米国の j2 Global, Inc. が運営するインターネット Fax サービス eFax(イーファックス) を勝手に名乗ってる英語表記の 迷惑メール(スパムメール) を受信しましたよ。

HTML 形式メールなので、画像も使い凝ったデザインです。

イメージ 1
偽 eFax メール!
本物の企業ロゴの画像が悪用されまくり

件名 eFax message from "POTS modem 2 " - 1 page(s), Caller-ID: 1-630-226-2563 / eFax message from "unknown" - 1 page(s), Caller-ID: 1-219-972-8538 / eFax message from "Prod3-1 " - 3 page(s), Caller-ID: 1-630-226-2511 / eFax message from "POTS modem 4 " - 2 page(s), Caller-ID: 1-630-226-2565
送信者 <message@inbound.efax.com> / eFax

eFax Faxing Simplified
JOIN THE eFax COMMUNITY
You have a new eFax message. To view your message, see your fax attached or login here.
Fax Details
Caller Id: 1-630-226-2563
Received: 2015-02-24 16:40:51 CST
Type: Attached in pdf
Number of pages: 1
Reference #: pdx_did4-162019947-16950688673-99
With eFax, did you know you can:
• Send faxes from your desktop or mobile device
• Sign and edit faxes with no printing required
• Send large files by email (up to 1 GB)
Learn more >>
Thank you for using eFax!
Sincerely,
The eFax Team
P.S. Want more solutions to help your business?
Test drive our cloud services from j2 Global with a Free Trial today!


右上に見える共有アイコン(Facebook、Twitter、Google、YouTube)や、右側の縦型のバナー画像、メール本文中に複数のリンクが用意されてます。


ただし、全リンクが eFax の公式サイトへアクセスするようになってました。

つまり、eFax 騙った偽ログインページへ誘導する フィッシング詐欺 が目的の迷惑メールではないことが分かりました。

添付ファイルはPDF文書? 実際はウイルス

一方で、この迷惑メール(スパムメール)には、zip 形式の圧縮アーカイブが添付されてました。

手動で解凍・展開してみると、明らかにヤバい Windows向け実行ファイル(拡張子 .exe) の登場です。 ファイルの拡張子に注意するウイルス対策 が重要!

イメージ 3
ん? PDF文書ファイル?

イメージ 2
アイコンを偽装!
ユーザーに開いてもらう戦略

fax_2342.zip
 ↓ 展開・解凍

fax_2342.exe

FAX_20150226_1424989043_176.zip
FAX_20150301_1425207426_89.zip
FAX_20150311_1426082680_127.zip
 ↓ 展開・解凍

FAX_20150226_1424989043_176.exe
FAX_20150301_1425207426_89.exe
FAX_20150311_1426082680_127.exe

記事を投稿してる時点で、この実行ファイルの正体は、Windows PC を狙ったトロイの木馬 Upatreでした。

Mac OS X、Androidスマホ、iOS(iPhone/iPad)、ガラケー は影響しません。

FAX の受信データと思い込み、Windows ユーザーさんが Upatre ウイルスをポチポチッとダブルクリックすると、さらにネットバンキング不正送金ウイルス 「Dyre」「Dyreza」「Dyzap」 をダウンロードしてきて感染させます。

TrojanDownloader:Win32/Upatre
www.virustotal.com/ja/file/c4556b57ff046c56cf8a53f55bd825570882444b284589547f688b98bf1adbc9/analysis/1424874409/
www.virustotal.com/ja/file/de32206ccde1b20a944c5ac4c49a565d9d65ba4786bacc37aa18c2ca7d83b39f/analysis/1425055493/

 ↓ 裏でひっそりとダウンロードしてくる

PWS:Win32/Dyzap
ttps://www.virustotal.com/ja/file/5d0d7ef2ca566a45f3a619289e04242cb75d7154799b9b4b28bb5c81922eb100/analysis/1424874620/
ttps://www.virustotal.com/ja/file/7526cbe7193845538fb176d28befce7d46d732417fdac940d6b801c19c6f4e21/analysis/1425055654/

セキュリティソフト のウイルス定義データでの白黒判定は?

何だかんだ、後出しジャンケン してるワケで、セキュリティ会社の検出が後手に回ることもザラです。 <攻撃者は感染成功させるため新鮮ピチピチな亜種を投入


ファイアウォールは有効だが対処してる?

ちなみに、Windows ユーザーさんが ファイアウォール をうまく制御できてるなら、Upatre がマルウェアをさらにダウンロードする動作を確実に阻止できます。

次のような Windows ユーザーさんは対処しないとヤバい!


市販セキュリティソフトの中でファイアウォール未実装の低価格タイプ
 (Norton Antivirus、ESET NOD32 Antivirus、Kaspersky Anti-Viurs など)

関連するブログ記事