【画像】複合機の受信通知Message from迷惑メール Word文書でウイルス感染攻撃
 
イメージ 1
Image: モッファ
 
実際に販売されてる複合機からのデータ受信通知を装った英語表記な迷惑メール(スパムメール)が先週あたりに無差別でバラ撒かれたそう。
 
メールの件名 ⇒ Message from KMBT_C280
 
複合機の通知を偽装したメールがマクロ型不正プログラムを頒布、日本でも被害 | トレンドマイクロ
http://blog.trendmicro.co.jp/archives/11776
 
Threat Outbreak Alert RuleID16029: Email Messages Distributing Malicious Software on June 17, 2015 (Cisco)
http://tools.cisco.com/security/center/mviewAlert.x?alertId=39393
 
複合機はファックス、コピー、スキャナ、プリンタなどの機能が1つにまとめられてる機器で、業務マシン宛てにメールが送信されたよう誤認するのを攻撃者は期待してる?
 
ちなみに、このメールは日本のユーザーのみならず世界中に配信されてるようで、特定の団体や企業を限定的に狙う標的型攻撃(APT)じゃないですよぅ。

メールに添付されたWord文章ファイルの正体

このメールには、Microsoft Office に実装されてるマクロ機能を悪用する Word文書ファイルファイルの拡張子 *.doc) が添付されてます。
 
ユーザーに受信データと思い込ませて騙し、勢いよく開いてしまうのを狙った形。 マクロ型ウイルス
 
この文書を Microsoft Word でうっかり開いても、マクロ機能は標準ではブロックされるようになってるけど、ユーザーの意思でマクロの動作の許可を与えてしまえば攻撃処理が発動してしまいます。
 
イメージ 2
メールに添付されてたWordファイル現物の画像
  • SKMBT_C28015061614410.doc
    → コニカミノルタ製の複合機からの送信データを装ってる
    (SKMBT = Scan Konica Minolta Business Technologies)
     
  • [数値]_FMM_[数値].doc
    → ???
MD5 24dede8dad28f091ad9b424a62edff06
www.virustotal.com/ja/file/e6f24c5632605cf43b502a1d69032c27432f1f463c0f4c671c55ccffd1515ff7/analysis/1434529119/
 
なお、このファイルはWindowsパソコンだけが攻撃対象であり、Mac OS やスマートフォン(Android、iPhine)や ガラケー らへんは動作の範疇外です。

外部ネットワークから実行ファイルをダウンロード!

このマクロウイルスの機能的な役目は、外部ネットワークからマルウェア本体であるWindows向け実行ファイルファイルの拡張子 *exe)をひっそりダウンロードしてきて起動する動作です。
 
イメージ 3
セキュリティ対策ソフトによる検出を回避するため不正な処理を隠す難読化処理が…
 
不正な実行ファイルは、経済ニュースの記事?をのせてるベルギーの正規サイトのサーバー上にアップされとりますかい! <悪意のある第三者が不正アクセスしてる
 
セキュリティ会社ごとに検出名は異なるけど、「Dridex」「Dyre」「Dyreza」と呼ばれてるネットバンキングウイルスを感染させる攻撃キャンペーンのようです。
 

 
<追記...>
 
成りすましの対象となったコニカミノルタから注意喚起情報が発表されてます。
 
当社複合機からのScan to E-mail機能を装った不審なメールにご注意ください - 重要なお知らせ | コニカミノルタ
http://www.konicaminolta.jp/business/support/important/scan_to_email.html
 
「Scan to E-mail」は、複合機のスキャナーで読み取った文書を電子メール宛に送信してくれる機能とのことで。
関連するブログ記事