American Express Safe Keyウイルス迷惑メール 偽アメックスでダウンロード誘導
 
米クレジットカード会社アメリカン・エキスプレス(アメックス)を勝手に名乗って不特定多数にバラ撒かれる英語表記な迷惑メール(スパムメール)の紹介です。
件名 American Express - Safe Key
 
Safe Key
Create your safe key now

Please create your Personal Security Key. Personal Safe Key (PSK) is one of several authentication measures we utilize to ensure we are conducting business with you, and only you, when you contact us for assistance.

American Express uses 128-bit Secure Sockets Layer (SSL) technology. This means that when you are on our secured website the data transferred between American Express and you is encrypted and cannot be viewed by any other party. The security of your personal information is of the utmost importance to American Express, please click  here to create your PSK (Personal Safe Key).

Note: You will be redirected to a secure encrypted website.
 
The contained message may be privileged, confidential and protected from disclosure. If the reader of this message is not the intended recipient, or an employee or agent responsible for delivering this message to the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited.

Sincerely,
American Express Customer Service

Contact Customer Service | View Our Privacy Statement | Add Us to Your Address Book

This is a customer service e-mail from American Express. Using the spam/junk mail function may not block servicing messages from being sent to your email account. To learn more about e-mail security or report a suspicious e-mail, please visit us at americanexpress.com/phishing. We kindly ask you not to reply to this e-mail but instead contact us securely via customer service.

American Express. All rights reserved.
メールでは、セキュリティ確保のため個人の識別に「Personal Safe Key」なる認証鍵を作成するよう求める通知を装ってます。
 
添付ファイルは付いておらず、メール本文中の誘導リンク(7ヶ所ほど)をクリックして踏ませる手口になってました。

誘導先でナゾファイルのダウンロード

誘導先は、ファイルをダウンロードする英語表記のページが一瞬表示され、すぐ直後に米アメックスの公式サイトへリダイレクトされるようになってました。
 
イメージ 1
ブラウザによるファイルのダウンロード通知ポップアップ
 
ゲットできるのはZIP形式の圧縮ファイルなので、解凍してみると中身がスクリーンセーバー用実行ファイル(拡張子 *.scr)です。 <ダブルクリックして起動したら感染アウトー!
 
 
Personal Safe Key instruction.zip
 ↓ 解凍
Personal Safe Key instruction.scr
 
キッチリ踏み抜いてもらうため、アイコン画像をPDF文書っぽく偽装してますな。
 
ファイルの正体は Upatreウイルス(Win32/Upatre、TROJ_UPATRE) で、何かしら別のマルウェアをダウンロードしてきて起動するダウンローダ型トロイの木馬です。
 
Mac OS、スマホ(Android・iPhone)、ガラケー は攻撃対象外
 
偽メール経由で、Windowsパソコンをターゲットにネットバンキングの情報を盗む Dyre / Dyzap / Dyreza ウイルスの感染キャンペーンとして投入されてます。
関連するブログ記事