<迷惑メール>American Express偽Safe Keyウイルス感染

ea3a6ff6.png

米クレジットカード会社 アメリカン・エキスプレス (アメックス) を名乗って不特定多数にバラ撒かれる英語の 迷惑メール (スパムメール) の紹介です。 

偽メール件名 American Express - Safe Key
Safe Key
Create your safe key now
Please create your Personal Security Key. Personal Safe Key (PSK) is one of several authentication measures we utilize to ensure we are conducting business with you, and only you, when you contact us for assistance.
American Express uses 128-bit Secure Sockets Layer (SSL) technology. This means that when you are on our secured website the data transferred between American Express and you is encrypted and cannot be viewed by any other party. The security of your personal information is of the utmost importance to American Express, please click  here to create your PSK (Personal Safe Key).
Note: You will be redirected to a secure encrypted website.
The contained message may be privileged, confidential and protected from disclosure. If the reader of this message is not the intended recipient, or an employee or agent responsible for delivering this message to the intended recipient, you are hereby notified that any dissemination, distribution or copying of this communication is strictly prohibited.
Sincerely,
American Express Customer Service
Contact Customer Service | View Our Privacy Statement | Add Us to Your Address Book
This is a customer service e-mail from American Express. Using the spam/junk mail function may not block servicing messages from being sent to your email account. To learn more about e-mail security or report a suspicious e-mail, please visit us at americanexpress.com/phishing. We kindly ask you not to reply to this e-mail but instead contact us securely via customer service.
American Express. All rights reserved.

Eメールの内容は、セキュリティを確保するための個人の識別として 「Personal Safe Key」 という認証鍵を作成するよう要求する通知を装っていました。
 
Eメールに添付ファイルはなく、Eメール本文中の誘導リンク (7 ヶ所ほど) をクリックするよう仕向ける手口です。

Eメール誘導先で不正なファイルのダウンロード

誘導先は、ファイルをダウンロードする英語のページが一瞬だけ表示されて、直後に米国のアメリカン・エキスプレス (アメックス) の公式ウェブサイトへ転送 (リダイレクト) されました。

イメージ 1
ブラウザに表示されたファイルのダウンロード通知

ダウンロードできるファイルは、zip 形式の圧縮アーカイブで、中身を展開 (解凍) してみると スクリーンセーバーの実行ファイル (拡張子 .scr) を確認できました。

PDF 文書っぽく偽装されたアイコン画像を持つスクリンセーバーの実行ファイルをポチポチっとダブルクリックで起動することで感染です。
 
イメージ 2
ファイルの拡張子 .scr に注目~

【ダウンロードしたファイル】
Personal Safe Key instruction.zip
 ↓ 解凍
Personal Safe Key instruction.scr

スクリーンセーバーの実行ファイルの正体は、ダウンローダー型トロイの木馬 Upatre ウイルス (検出名 Win32/Upatre、TROJ_UPATRE) で、何かしら別のマルウェアをダウンロードしてきて起動する機能をサポートしています。

mac、スマホ (Android / iPhone) は攻撃対象外

偽アメックスのEメール経由で Windows パソコンをターゲットにネットバンキングの情報を盗む Dyre / Dyzap / Dyreza ウイルスの感染キャンペーンのようです。

関連するブログ記事